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本 书 在 国际 上 是 一 本 实时 系统 方面 的 畅销 教材 。 全 面 论述 实时 系统 、 嵌 入 式 系统 和 分 布 
式 系统 的 特征 ， 深 入 分 析 设 计 和 实现 实时 嵌入 式 系统 的 需求 ， 批 评 性 地 介绍 了 当前 的 编程 语 
言 和 操作 系统 对 设计 和 实现 实时 系统 的 支持 ， 重 点 是 Ada95、 实 时 Java、 实 时 POSIX 以 及 实 
时 CORBA。 本 书 建议 了 对 于 实现 不 同 的 实时 系统 所 使 用 的 最 佳 编程 语言 。 本 书 覆 盖 的 丰富 
内 容 是 其 他 关于 实时 (或 并 发 ) 编程 语言 的 书籍 所 无 可 比拟 的 。 


是 英国 约克 大 学 计算 机 科学 系 的 教授 ， 他 撰写 和 与 其 他 人 合 
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x Alan Burns 著 了 300 多 篇 论文 和 10 本 书 ， 大 部 分 是 关于 Ada 和 实时 领域 
g | 的。 他 还 曾 是 IEEE 实 时 系统 技术 委员 会 的 主席 (2001-2003) 。 
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° 是 英国 约克 大 学 计算 机 科学 系 实 时 系统 方面 的 教授 ， 
Andy Wellings 撰写 了 200 多 篇 论文 和 报告 以 及 5 本 书 。 他 还 是 Sojiwvore 
Practice and Experience 杂志 的 欧洲 主编 。 





W 网 上 购书 : www.china-pub.com 

北京 市 西城 区 百 万 庄 南 街 1 号 100037 
读者 服务 热线 : (010)68995259，68995264 
读者 服务 信箱 : hzedu@hzbook.com 
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本 书 全 面 论述 实时 系统 、 戏 人 式 系统 和 分 布 式 系统 的 特征 ， 深 入 分 析 设 计 和 实现 实时 
嵌入 式 系统 的 需求 ， 并 讨论 了 当前 的 编程 语言 和 操作 系统 如 何 满足 这 些 需 求 ， 重 点 介绍 
Ada 95、 实 时 Java 和 实时 POSIX。 本 书 还 覆盖 了 在 实时 领域 的 最 新 成 果 ， 包 括 实时 CORBA。 

本 书 在 国外 是 实时 系统 方面 的 畅销 教材 ， 涵 盖 的 内 容 广泛 ， 适 合作 为 高 等 院 校 计算 
机 专业 的 教材 ， 供 高 年 级 本 科 生 和 研究 生 使 用 。 


Alan Burns and Andy Wellings: Real-Time Systems and Programming Languages: Ada 
95, Real-Time Java and Real-Time POSIX (Third Edition) (ISBN: 0201729881) 

Copyright © 1989, 2001by Pearson Education Limited. 

This translantion of Real-Time Systems and Programming Languages: Ada 95, Real- 
Time Java and Real-Time POSIX (Third Edition) is published by arrangement with Pearson 
Education Limited. 


本 书 中 文 简体 字 版 由 英国 Pearson Education 培 生 教 育 出 版 集团 授权 机 械 工业 出 版 社 
和 中 信 出 版 社 出 版 。 
版 权 所 有 ， 侵 权 必 究 。 


本 书 版 权 登记 号 : BS: 01-2002-0605 
图 书 在 版 编目 {CIP) 数据 


实时 系统 与 编程 语言 : 原 书 第 3 版 / (OX) RBM (Burns, A.)，( 英 ) RAR 
(Wellings, A.) 著 ; 王 振 宇 等 译 . 一 北京 : 机 械 工 业 出 版 社 ，2004.4 
《计算 机 科学 从 书 ) 
书 名 原文 : Real-Time Systems and Programming Languages: Ada 95, Real-Time Java 
and Real-Time POSIX (Third Edition) 
ISBN 7-111-13987-9 


I.X-- LO- OR OE 0.0 实时 操作 系统 © 程序 语言 IV. 
© TP316.2 © TP312 


中 国 版 本 图 书馆 CIP 数 据 核 字 (2004) 40137615 


机 械 工业 出 版 社 (北京 市 西城 区 百 万 此 大 街 22 号 邮政 编码 100037) 
责任 编辑 : OX 

北京 瑞 德 印刷 有 限 公司 印 刷 ' 新 华 书店 北京 发 行 所 发 行 
2004 年 4 月 第 1 版 第 1 次 印刷 

787mm x 1092mm 1/16 - 37.25 印 张 

ENR: 0001-4 0007 

定价 : 59.005 


凡 购 本 书 ， 如 有 倒 页 、 脱 页 、 缺 页 ， 由 本 社 发 行 部 调换 。“ 
本 社 购书 热线 : (010 ) 68326294 





出 版 者 的 话 


文艺 复兴 以 降 ， 源 远 流 长 的 科学 精神 和 逐步 形成 的 学 术 规 范 ， 使 西方 国家 在 自然 科学 的 
各 个 领域 取得 了 芍 断 性 的 优势 ; 也 正 是 这 样 的 传统 ， 使 美国 在 信息 技术 发 展 的 六 十 多 年 间 名 
家 辈出 、 独 领 风 骚 。 在 商业 化 的 进程 中 ， 美 国 的 产业 界 与 教育 界 越 来 越 紧 密 地 结合 ， 计 算 机 
学 科 中 的 许多 秦山 北斗 同时 身 处 科研 和 教学 的 最 前 线 ， 由 此 而 产生 的 经 典 科 学 著作 ， 不 仅 壁 
划 了 研究 的 范畴 ， 还 揭 更 了 学 术 的 源 变 ， 既 遵循 学 术 规 范 ， 又 自 有 学 者 个 性 ， 其 价值 并 不 会 
因 年 月 的 流逝 而 减退 。 

近年 ， 在 全 球 信息 化 大 潮 的 推动 下 ， 我 国 的 计算 机 产业 发 展 迅猛 ， 对 专业 人 才 的 需求 日 
益 迫 切 。 这 对 计算 机 教育 界 和 出 版 界 都 既是 机 遇 ， 也 是 挑战 ;而 专业 教材 的 建设 在 教育 战略 
上 显得 举足轻重 。 在 我 国信 息 技术 发 展 时 间 较 短 、 从 业 人 员 较 少 的 现状 下 ， 美 国 等 发 达 国 家 
在 其 计算 机 科学 发 展 的 几 十 年 间 积淀 的 经 典 教材 仍 有 许多 值得 借鉴 之 处 。 因 此 ， 引 进 一 批 国 
外 优秀 计算 机 教材 将 对 我 国 计 算 机 教育 事业 的 发 展 起 积极 的 推动 作用 ， 也 是 与 世界 接轨 、 建 
设 真正 的 世界 一 流 大 学 的 必由之路 。 

机 械 工业 出 版 社 华章 图 文 信息 有 限 公 司 较 早 意识 到 “出 版 要 为 教育 服务 ”"。 自 1998 年 开始 ， 
华章 公司 就 将 工作 重点 放 在 了 六 选 、 移 译 国外 优秀 教材 上 。 经 过 几 年 的 不 懈 努 力 ， 我 们 与 
Prentice Hall, Addison-Wesley, McGraw-Hill, Morgan Kaufmann 等 世界 著名 出 版 公司 建立 了 
良好 的 合作 关系 ， 从 它们 现 有 的 数 百 种 教材 中 甄选 出 Tanenbaum，Stroustrup，Kernighan， 
Jim Gray 等 大 师 名 家 的 一 批 经 典 作品 ， 以 “计算 机 科学 丛书 ”为 总 称 出 版 ， 供 读者 学 习 、 研 
究 及 皮 藏 。 大 理 石 纹理 的 封面 ， 也 正体 现 了 这 套 丛书 的 品位 和 格调 。 

“计算 机 科学 从 书 ” 的 出 版 工作 得 到 了 国内 外 学 者 的 鼎力 襄 助 ， 国 内 的 专家 不 仅 提供 了 中 
肯 的 选 题 指导 ， 还 不 辞 劳苦 地 担任 了 翻译 和 审 校 的 工作 ; 而 原 书 的 作者 也 相当 关注 其 作品 在 
中 国 的 传播 ， 有 的 还 专 诚 为 其 书 的 中 译本 作 序 。 迄 今 ,“ 计 算 机 科学 从 书 ” 已 经 出 版 了 近 百 个 
品种 ， 这 些 书籍 在 读者 中 树立 了 良好 的 口碑 ， 并 被 许多 高 校 采 用 为 正式 教材 和 参考 书籍 ,为 
进一步 推广 与 发 展 打下 了 坚实 的 基础 。 

随 着 学 科 建 设 的 初步 完善 和 教材 改革 的 逐渐 深化 ， 教 育 界 对 国外 计算 机 教材 的 需求 和 应 
用 都 步 人 一 个 新 的 阶段 。 为 此 ， 华 章 公司 将 加 大 引进 教材 的 力度 ， 在 “华章 教育 ”的 总 规划 
之 下 出 版 三 个 系列 的 计算 机 教材 : 除 “ 计 算 机 科学 丛书 ”之 外 ， 对 影印 版 的 教材 ， 则 单独 开 
辟 出 “经 典 原版 书库 ”; 同时 ， 引 进 全 美 通行 的 教学 辅导 书 “Schaum's Outlines” 系 列 组 成 
“ 爹 美 经 典 学 习 指导 系列 ”。 为 了 保证 这 三 套 从 书 的 权威 性 ， 同 时 也 为 了 更 好 地 为 学 校 和 老师 
们 服务 ， 华 章 公司 聘请 了 中 国 科 学 院 、 北 京 大 学 、 清 华 大 学 、 国 防 科技 大 学 、 复 旦 大 学 、 上 
海 交 通 大 学 、 南 京 大 学 、 浙 江 大 学 、 中 国 科技 大 学 、 哈 尔 滨 工业 大 学 、 西 安 交 通 大 学 、 中 国 
人 民 大 学 、 北 京 航空 航天 大 学 、 北 京 邮电 大 学 、 中 山大 学 、 解 放 军 理工 大 学 、 郑 州 大 学 、 湖 
北 工学 院 、 中 国 国家 信息 安全 测评 认证 中 心 等 国内 重点 大 学 和 科研 机 构 在 计算 机 的 各 个 领域 
的 著名 学 者 组 成 “专家 指导 委员 会 "， 为 我 们 提供 选 题 意见 和 出 版 监督 。 

这 三 套 丛书 是 响应 教育 部 提出 的 使 用 外 版 教材 的 号 召 ， 为 国内 高 校 的 计算 机 及 相关 专业 
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的 教学 度 身 订 造 的 。 其 中 许多 教材 均 已 为 M. LLT., Stanford, U.C. Berkeley, C. M. U. 等 世界 
名 牌 大 学 所 采用 。 不 仅 涵 盖 了 程序 设计 、 数 据 结构 、 操 作 系 统 、 计 算 机 体系 结构 、 数 据 库 、 
编译 原理 、 软 件 工程 、 图 形 学 、 通 信和 与 网 络 、 离散 数学 等 国内 大 学 计算 机 专业 普遍 开设 的 核 
心 课 程 ， 而 且 各 具 特 色 一 一 有 的 出 自 语言 设计 者 之 手 、 有 的 历经 三 十 年 而 不 误 、 有 的 已 被 全 
世界 的 几 百 所 高 校 采用 。 在 这 些 圆 熟 通 博 的 名 师 大 作 的 指引 之 下 ， 读 者 必 将 在 计算 机 科学 的 
宫 奈 中 由 登 堂 而 人 室 。 

权威 的 作者 、 经 典 的 教材 、 一流 的 译 者 、 严 格 的 审 校 、 精 细 的 编辑 ， 这 些 因素 使 我 们 的 
图 书 有 了 质量 的 保证 ， 但 我 们 的 目标 是 尽善尽美 ， 而 反馈 的 意见 正 是 我 们 达到 这 一 终极 目标 
的 重要 帮助 。 教 材 的 出 版 只 是 我 们 的 后 续 服务 的 起 点 。 华 章 公 司 欢迎 老师 和 读者 对 我 们 的 工 
作 提 出 建议 或 给 予 指正 ， 我 们 的 联系 方法 如 下 : 


电子 邮件 : hzedu@hzbook.com 

联系 电话 : (010) 68995264 

联系 地 址 : 北京 市 西城 区 百 万 庄 南 街 1 号 
邮政 编码 : 100037 
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译 者 序 


Alan Burns 和 Andy Wellings 的 这 本 《实时 系统 与 编程 语言 》 于 1989 年 出 第 1 版 ，1997 年 
出 第 2 版 ，2001 年 出 第 3 版 ，2003 年 则 是 第 3 版 的 第 3 次 印刷 ， 可 见 它 是 一 本 受 欢迎 的 书 。Alan 
Burns 和 Andy Wellings 都 在 英国 约克 (York) 大 学 计算 机 科学 系 工 作 。Burns 教 授 是 IEEE 实 
时 系统 委员 会 的 主席 (2001-2003). Andy Wellings 教授 是 Software Practice and Experience# 
志 的 欧洲 主编 。 

书 中 全 面 论 述 了 实时 系统 、 傣 人 式 系统 和 分 布 式 系统 的 特征 ， 深 入 分 析 了 设计 和 实现 实 
时 嵌入 式 系 统 的 需求 ， 批 判 性 地 介绍 了 几 种 编程 语言 和 操作 系统 对 设计 和 实现 实时 系统 的 支 
持 ， 重 点 是 Ada 95、 实 时 Java 和 实时 POSIX。 书 中 覆盖 了 此 领域 的 最 新 成 果 ， 包 括 实时 
CORBA, 

在 这 本 书 的 翻译 过 程 中 ， 关 于 若干 术语 的 译 法 碰 到 不 少 问题 。 这 一 方面 是 由 于 国外 一 些 
作者 和 机 构 对 这 些 术 语 的 用 法 历来 就 有 不 同 ， 另 一 方面 是 由 于 中 西 文化 背景 的 差异 。 我 们 的 
原则 是 这 本 书 中 的 译 法 要 尽 可 能 统一 ， 不 致使 读者 混淆 ,并 在 必要 时 加 注 原 文 。 另 外 ， 司 到 
“ 信 、 达 、 雅 ”全 面 兼顾 ， 当 然 很 好 ， 但 由 于 种 种 原因 无 法 兼顾 的 时 候 ， 只 有 牺牲“ 雅 ” 了 。 
相信 翻译 过 科技 著作 的 人 会 同意 这 种 取 含 。 . 

原 书 作者 针对 第 3 版 给 出 了 勘误 表 ， 见 : 

http://www booksites.net/burns 
译文 已 据 此 做 了 相应 更 改 。 遗 憾 的 是 还 发 现 另 外 一 些 错误 ， 译 文中 也 改正 了 。 

参加 本 书 翻译 工作 的 除 封面 署名 外 还 有 : 王 志 海 (武汉 理工 大 学 )、 张 立 (武汉 化 工学 院 )、 
PRIN (中 船 重工 709 研 究 所 ) RIE (中 船 重 工 709 研 究 所 )、 余 扬 (华南 理工 大 学 )、 徐 冠 勇 
(中 船 重工 709 研 究 所 )、 李 扬 (中 船 重 工 709 研 究 所 )、 李 任 (中 船 重工 709 研 究 所 ) 等 。 


GARY (中 船 重工 709 研 究 所 ) 
陈 利 (华中 师范 大 学 ) 
2003 年 9 月 1 日 
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1981 年 ， 一 个 软件 错误 导致 一 个 静止 的 机 器 人 突然 移动 ， 并 以 极 快 的 速度 冲 到 操作 区 的 
边缘 ， 附 近 的 一 个 工人 被 撞 死 。 这 只 是 供 入 式 实时 系统 灾难 的 一 个 例子 。 但 是 这 并 非 一 个 孤 
立 的 意外 事件 。 每 个 月 ，《Software Engineering Notes》( 软 件 工程 通讯 ) 都 有 几 页 关于 实时 系 
统 的 故障 将 公众 或 环境 推 人 危险 境地 的 例子 。 这 些 认 真 描述 的 事件 证 明了 需要 对 人 嵌入 式 系统 
有 一 个 系统 范围 的 观点 。 确 实 ， 有 人 主张 说 现在 需要 将 实时 系统 作为 一 个 单独 的 工程 学 科 来 
认识 。 本 书 就 是 要 为 建立 这 个 学 科 做 出 贡献 。 当 然 ， 它 不 可 能 覆盖 有 关 实 时 系统 工程 研究 的 
所 有 问题 ， 然 而 ， 它 确实 提供 了 对 在 此 领域 使 用 的 编程 语 言 和 操作 系统 标准 的 全 面 描述 和 评 
估 。 特 别 强调 的 重点 是 语言 原 语 及 其 在 产生 可 靠 、 安 全 、 可 依赖 软件 中 的 作用 。 


本 书面 向 的 读者 


本 书 针对 计算 机 科学 和 相关 专业 高 年 级 本 科 生 和 硕士 研究 生 ， 也 适合 于 专业 软件 工程 师 
和 实时 系统 工程 师 。 本 书 假设 读者 具有 像 Pascal 这 种 顺序 编程 语言 的 知识 ， 并 热 悉 软件 工程 的 
基本 原则 。 n 从 作者 过 去 多 年 里 在 各 种 大 学 和 相关 行业 所 开课 程 的 内 容 ， den 
程 都 是 专门 讲述 实时 系统 和 编程 语言 


结构 和 内 容 


为 了 各 章 的 连贯 性 ， 本 书 详细 地 研究 了 4 种 编程 语言 : Ada、Java、occam2 和 C。 之 所 以 
选中 这 些 语言 ， 是 因为 软件 生产 中 真正 使 用 这 些 语 言 。 由 于 C 是 一 个 顺序 语言 ， 它 要 连同 
POSIX 操 作 系 统 的 接口 一 起 使 用 (尤其 是 实时 扩展 )。 本 书 也 讨论 其 他 的 理论 性 或 实验 性 语言 ， 

只 要 它们 提供 核心 语言 中 没有 的 原 语 。 这 些 语言 的 实践 人 员 应 当 可 找到 他 们 需要 的 足够 材料 。 
作者 相信 ， 像 对 Ada 或 Java 这 样 的 语言 的 全 面 评价 只 能 通过 对 它们 进行 比较 性 研究 才能 得 出 。 

本 书 总 共有 18 章 ， 前 13 章 分 成 五 部 分 。 第 1 章 至 第 4 章 是 一 个 深入 的 引言 ， 提 出 了 实时 系 
统 的 特征 和 和 需求， 然后 给 出 此 类 系统 的 设计 概述 。 设 计 不 是 本 书 的 关注 重点 ， 然而 它 对 于 在 
适宜 的 环境 中 讨论 实现 | 语言 i 
一般 标 准 。 第 3 章 和 第 4 章 通 过 关于 小 型 编程 和 大 型 编程 的 讨论 研究 基本 语言 结构 。 这 些 章 还 
介绍 Ada、Java、occam2 和 C。 熟悉 这 些 语 言 和 实时 系统 基本 特性 的 读者 可 以 快速 地 浏览 这 开 
头 的 四 章 。 对 于 其 他 读者 ， 这 些 材料 有 助 于 使 本 书 更 加 自 成 体系 。 

第 5 章 和 第 6 章 讨论 可 靠 软件 部 件 的 生产 问题 。 虽 然 考虑 到 了 故障 预防 ， 但 重点 主要 集中 
在 容错 ， 研究 了 向 前 和 向 后 两 种 出 错 恢复 技术 。 第 6 章 讨论 异常 处 理 ， 描 述 恢复 和 终止 两 种 模 
7, LA (EAda, Java, CHILL, CLU, C+ 十 和 Mesa 中 的 语言 原 语 。 

实时 系统 的 固有 特征 是 并 发 ， 所 以 研究 编程 语言 的 这 个 方面 是 很 重要 的 。 第 7 章 介 绍 进程 
的 概念 并 概述 语言 和 操作 系统 设计 者 使 用 的 许多 不 同 模型 。 在 接 下 来 的 两 章 中 研究 进程 之 间 
的 通信 ， 首 先 描述 共享 变量 方法 ， 包 括 信 和 号 量 、 管 程 、 互 斥 锁 和 保护 对 象 的 使 用 。 在 现代 编 
程 语言 中 ， 基 于 消息 的 模型 也 是 很 重要 的 ， 按 它们 进行 通信 和 同步 予以 组 合 。 第 9 章 涵盖 这 些 
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模型 ， 并 特别 关注 Ada 和 occam2 的 会 合 原 语 。 

对 于 在 此 书 中 是 应 当 首先 研究 可 靠 性 还 是 研究 并 发 性 的 问题 是 有 争论 的 。 两 位 作者 都 试 
着 反 转 次 序 ， 发 现在 这 两 种 方法 之 间 很 难 选择 。 事 实 上 ， 这 本 书 可 以 以 任 一 种 方式 使 用 ， 只 
有 一 、 两 个 主题 是 “不 合适 ”的 。 首 先 讲解 可 靠 性 的 决定 反映 了 作者 关于 安全 性 是 实时 系统 
的 根本 需求 的 信念。 

下 一 部 分 包括 第 10 章 和 第 11 章 。 通 常 将 系统 进程 之 间 的 关系 描述 为 合作 关系 (实现 一 个 
共同 目标 ) 或 竞争 关系 (获得 共享 资源 )。 第 10 章 通过 描述 如 何 将 可 靠 的 进程 合作 进行 编程 扩 
展 了 前 面 关 于 容错 的 讨论 。 这 个 讨论 的 核心 是 原子 动作 的 概念 和 异步 事件 处 理 技术 。 接 下 来 
的 一 章 研 究 竞 争 进程 ， 评 价 了 各 种 语言 特征 。 这 里 的 一 个 重要 问题 是 并 发 模型 里 的 条 件 同步 
和 回避 同步 之 间 的 区 别 。 

时 间 性 需求 是 实时 系统 的 区 别 性 特征 。 第 12 章 和 第 13 章 详细 讨论 这 些 需求 和 用 以 满足 需 
求 的 语言 设施 以 及 实现 策略 。 硬 实时 系统 的 时 间 性 约束 是 必须 满足 的 ; 软 实时 系统 可 以 偶尔 
不 满足 。 二 者 都 是 在 时 限 调度 的 背景 下 讨论 的 。 优 先 级 概念 是 同 基 于 抢占 式 优 先 级 系统 的 可 
调度 性 分 析 一 起 讨论 的 。 mE 

剩 下 的 几 章 本 质 上 是 独立 的 。 近 期 在 硬件 和 通信 技术 方面 的 进展 已 经 使 分 布 式 计算 机 系 
统 在 嵌入 式 应 用 领域 成 为 单 处 理 器 和 集中 式 系统 的 可 行 的 替代 品 。 虽 然 在 某 些 方面 ， 分 布 可 
被 看 作 是 实现 问题 ; 然而 ， 当 应 用 被 分 布 时 ， 出 现 的 问题 提出 了 超出 实现 细节 的 基础 性 问题 。 
第 14 章 研究 相关 的 四 个 方面 : 语言 支持 、 处 理 器 和 通信 失效 情况 下 的 可 靠 性 、 分 布 式 控制 算 
法 和 分 布 式 调度 。 把 这 些 内 容 独立 成 章 ， 目 的 是 使 上 短期 课程 的 学 生 可 以 跳 过 它 

许多 实时 系统 的 一 个 重要 需求 是 加 进来 的 外 部 设备 必须 作为 应 用 软件 的 一 部 分 编程 (也 
就 是 说 必须 予以 控制 )。 这 种 低级 编程 同 作为 软件 工程 特征 的 软件 生产 的 抽象 方法 很 不 相同 。 
第 15 章 研究 低级 设施 能 够 被 成 功 地 并 入 高 级 语言 的 方式 。 

对 于 实时 系统 的 一 个 普遍 错误 概念 是 认为 它们 必须 是 高 效 的 ， 这 本 身 是 不 对 的 。 实 时 系 
统 必 须 满足 时 间 约束 (和 可 靠 性 需求 ) ; 高 效 的 实现 是 扩展 可 能 性 范围 的 一 种 手段 ， 但 其 本 
身 不 是 目的 。 第 16 章 概述 了 执行 环境 在 获得 高 效 可 预测 的 实现 中 的 作用 。 

本 书 最 后 的 一 章 是 用 Ada 实 现 的 一 个 个 案 研究 ， 使 用 了 矿井 控制 系统 的 例子 。 一 个 经 过 裁 
减 的 个 案 研 究 不 可 能 说 明 前 面 各 章 涵盖 的 所 有 问题 ， 特 别 是 没有 涉及 大 小 和 复杂 性 等 因素 。 
然而 ， 这 个 个 案 研究 确实 覆盖 了 实时 系统 的 许多 重要 方面 。 

各 章 都 有 小 结 和 相关 阅读 材料 清单 ， 多 数 章 还 有 练习 。 选 择 这 些 练习 是 为 了 帮助 读者 巩 
固 对 每 一 章 内 容 的 理解 。 它 们 大 体 上 代表 了 作者 进行 评估 所 使 用 过 的 练习 。 


Ada、Java、occam2 和 C 


本 书 中 Ada 95 的 例子 符合 ISO/ANSI 标 准 。Java 例 子 符合 Java 2 平台 和 Java 扩 展 的 实时 规格 
说 明 (在 本 书 中 称 为 实时 Java )。 occam2 例 子 符合 INMOS 给 出 的 oceam2 定 义 。C 例 子 符合 
ANSI C, POSIX 原 语 是 在 POSIX.1、POSIX.1b、 POSIX.1c. POSIX.1d 和 POSIX.13 定 义 中 给 
出 的 原 语 。 

为 方便 四 种 语言 的 识别 ， 使 用 了 不 同 的 表现 风格 。 Ada 使 用 加 粗 小 写字 母 的 关键 字 ， 程 序 
标识 符 则 以 大 小 写 混合 方式 给 出 。 occam2 的 关键 字 用 不 加 粗大 写字 母 ， 标识 符 用 混合 大 小 写 
字母 。C 的 关键 字 不 加 粗 ， 标识 符 用 小 写字 母 。 为 将 Java 同 C 区 分 ， Java 关 键 字 是 加 粗 的 ， 标 








TX 
识 符 是 混合 大 小 写字 母 。 
对 第 2 版 的 修改 
在 第 2 版 中 ， 我 们 从 Ada 83 移 到 Ada 95， 从 Modula-2 移 到 了 C 和 POSIX。 第 3 版 根据 实时 领 
域 的 下 列 发 展 进行 了 改进 : 


*Java 通 过 实时 Java 扩 展 成 为 一 个 实时 语言 。 因 此 本 书 将 Java 作 为 核心 语言 之 一 对 待 。 
。POSIX 标 准 中 补充 的 新 实时 功能 ， 尤 其 是 执行 时 间 监 控 (Execution Time Monitoring) 
和 偶发 服务 器 (Sporadic Server)。 第 12 章 和 第 13 章 的 更 新 反映 了 标准 的 这 些 修改 。 

。 为 解决 实时 间 题 对 COBRA 的 建议 扩展 。CORBA 显 然 有 理由 成 为 一 个 主要 议题 ， 但 详细 
讨论 它 超出 了 本 书 的 范围 。 然 而 ， 第 14 章 的 更 新 还 是 反映 了 CORBA 方 法 。 

我 们 已 经 接受 了 使 用 本 书 教学 的 读者 关于 包含 更 多 调度 方面 材料 的 建议 。 


教学 辅助 材料 


从 下 列 网 站 可 得 到 本 教科 书 的 更 多 支持 材料 : http://www.booksites.net/burns。 本 书 许多 
部 分 有 投影 胶片 可 用 ， 还 提供 许多 练习 的 答案 。 我 们 将 随时 添加 更 多 的 练习 、 适 当 的 新 例子 
和 补充 教学 材料 。 使 用 本 书 的 教师 /讲师 帮助 完成 了 这 些 网 页 。 


关于 约克 大 学 的 实时 系统 研究 


Alan Burns 和 Andy Wellings 是 英国 约克 大 学 计算 机 系 实时 系统 研究 组 的 成 员 。 这 个 小 组 
对 实时 系统 的 设计 、 实 现 和 分 析 的 所 有 方面 进行 研究 。 这 个 小 组 尤其 致力 于 : 形式 化 和 结构 
化 开发 方法 、 调 度 理论 、 重 用 、 语 言 设 计 、 内 核 设计 、 通 信 协 议 、 分 布 和 并 行 体系 结构 、 程 
- 序 代 码 分 析 。 这 个 研究 组 的 宗旨 是 进行 基础 性 研究 ， 并 将 现代 技术 、 方法 和 工具 带 和 工程 实 
践 。 研 究 组 的 应 用 领域 包括 空间 和 航空 电气 系统 、 引 擎 控制 器 、 汽 车 控制 和 多 媒体 系统 。 可 
通过 http://www.cs.york.ac.uk/rts/ 找 到 这 个 小 组 活动 的 进一步 信息 。 


第 1 版 的 致谢 


本 书 中 的 材料 是 在 过 去 五 年 里 建立 起 来 的 ， 并 在 英国 布 拉 德 福 德 大 学 ( Bradford) 和 约克 
大 学 计算 机 科学 和 电子 学 系 向 三 年 级 本 科 生 和 研究 生 讲授 过 。 我 们 要 感谢 他 们 对 本 书 最 终 出 
版 的 贡献 ， 没 有 他 们 将 不 可 能 写成 这 本 书 。 

许多 人 读 过 本 书 的 第 一 稿 并 提出 意见 。 我 们 特别 要 感谢 Martin Atkins、Chris Hoggarth, 
Andy Hutcheon, Andrew Lister 和 Jim Welsh。 我 们 还 要 感谢 我 们 在 大 学 里 的 同事 ， 他 们 为 我 
们 提供 了 激励 性 的 环境 和 许多 有 价值 的 讨论 ， 特 别 是 Ljerka Beus-Dukic, Geoff Davies. John 
McDermid, Gary Morgan, Rick Pack, Rob Stone 和 Hussein Zedan, 

198846 Alan Burns 在 澳大利亚 昆士兰 (Queensland) 大 学 和 美国 休斯顿 (Houston) 大 学 进 
行 假期 研修 。 我 们 感谢 在 这 里 的 所 有 同事 ， 特 别 是 Andrew Lister. Charles McKay 和 Pat Rogers. 

如 果 不 用 通过 JANET 传 送 的 电子 邮件 ， 也 不 可 能 写成 这 本 书 。 我 们 要 感谢 英国 大 学 大 理 
事 会 和 科学 工程 研究 基金 会 的 计算 机 处 ， 它 们 提供 了 这 种 无 价 的 服务 。 

最 后 ， 我 们 还 要 特别 感谢 Sylvia Holmes 和 Carol Burns ， 感 谢 Sylvia 在 最 终 手 稿 上 进行 辛苦 
的 校对 ， 感 谢 Carol 容 许 我 们 进行 许多 晚间 的 会 议和 讨论 。 
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Gary Morgan, Offer Pazy 和 Juan de la Puente. 
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我 们 要 感谢 实时 Java 专 家 组 ， 他 们 在 建立 实时 Java 规 格 说 明 时 采用 了 开放 的 方式 。 还 感谢 
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第 1 章 实时 系统 引 论 


11 实时 系统 的 定义 小 结 

12 实时 系统 的 例子 相关 阅读 材料 

1.3 实时 系统 的 特征 

随 着 计算 机 变 得 更 小 、 更 快 、 更 可 靠 和 更 便宜 ， 其 应 用 范围 更 宽 了 。 最 初 制造 的 计算 机 
只 是 作为 方程 求解 装置 现在， 其 影响 已 经 拓展 到 生活 的 各 个 方面 ， 从 洗衣 机 到 空中 交通 管 
制 。 扩 展 最 快 的 一 个 计算 机 应 用 领域 所 涉及 的 各 种 应 用 ， 其 主要 功能 不 是 信息 处 理 ， 然 而 需 
要 信息 处 理 以 实现 其 主要 功能 。 微 处 理 器 控制 的 洗衣 机 是 这 种 系统 的 一 个 好 例子 。 这 里 ， 基 
本 功能 是 洗衣 服 ， 然 而 ， 为 了 洗 不 同 种 类 的 衣服 ， 要 执行 不 同 的 “洗衣 程序 "。 这 种 类 型 的 计 
算 机 应 用 通常 被 称 为 实时 应 用 或 做 入 式 应 用 。 佑 计 世 界 上 有 99% 的 微 处 理 器 是 用 于 幢 人 式 系 
统 的 。 这 些 做 入 式 应 用 的 编程 对 计算 机 语言 提出 了 特别 的 要 求 ， 因 为 它们 同 传统 的 信息 处 理 
系统 有 不 同 的 特征 。 

本 书 是 关于 典 入 式 计算 机 系统 及 其 编程 语言 的 。 本 书 研究 这 些 系 统 的 特有 性 质 ， 并 讨论 
现代 实时 编程 语言 和 操作 系统 的 演变 过 程 。 


1.1 实时 系统 的 定义 


在 进一步 讨论 之 前 ， 需 要 更 精确 地 定义 “实时 系统 ”这 个 词 。 对 实时 系统 的 确切 特性 有 
许多 解释 ， 然 而 在 响应 时 间 概 念 方面 是 共同 的 : 指 从 某 些 相关 输入 产生 输出 所 花 的 时 间 。 
《Oxford Dictionary of Computing》( 牛津 计 算 词典 ) 对 实时 系统 给 出 下 列 定义 : 


实时 系统 是 指 那 些 产生 输出 的 时 间 至 关 重 要 的 系统 。 这 通常 是 因为 输入 对 应 于 
外 界 的 某 个 运动 ， 而 输出 又 必须 与 同一 运动 相关 。 自 输入 时 刻 到 输出 时 刘 的 时 间 灌 
后 必须 充分 小 ， 以 达到 可 接受 的 及 时 性 。 


这 里 ,，“ 及 时 性 ”这 个 词 要 在 整个 系统 的 背景 中 加 以 考虑 。 例 如 ， 在 一 个 导弹 制导 系统 里 ， 
输出 要 求 在 几 个 毫秒 之 内 ， 而 在 一 个 计算 机 控制 的 汽车 装配 线 上 ， 响 应 可 能 只 要 求 在 一 秒 之 
内 。 为 说 明 “ 实 时 系统 ”定义 的 各 种 方式 ， 给 出 两 个 另外 的 定义 。Young (1982) 定义 实时 系 
统 是 : 


任何 必须 在 有 限 、 指 定 的 周期 内 对 外 部 发 生 的 输入 激励 做 出 响应 的 信息 处 理 活 
动 或 系统 。 
PDCS (Predictably Dependable Computer Systems) (Randell 等 ， 1995) 工程 给 出 如 下 定 
X: 
实时 系统 是 这 样 的 系统 : CRATERS GH MEHR EL EROR A OU oh 
反应 〈 包 括 实际 时 间 的 推移 )。 
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在 最 一 般 的 意义 下 ， 所 有 这 些 定义 涉及 非常 广泛 的 计算 机 处 理 活动 。 例 如 ， 像 Unix 这 样 
的 操作 系统 可 被 看 作 一 个 实时 系统 ， 因 为 当 一 个 用 户 输入 一 个 命令 时 ， 他 (或 她 ) 会 期 待 在 
几 秒 内 得 到 响应 。 还 好 ， 如 果 响 应 没有 如 期 而 来 ， 通 常 还 不 是 一 个 灾难 。 这 种 系统 有 别 于 那 
些 认为 不 能 及 时 响应 是 与 错误 响应 同样 精 糕 的 系统 。 确 实 ， 在 一 定 程度 上 ， 实 时 系统 正 是 在 
这 方面 有 别 于 那些 响应 时 间 虽 然 重要 但 并 非 决定 性 的 系统 。 所 以 ， 实 时 系统 的 正确 性 不 仅 依 
囊 于 计算 的 合理 结果 ， 还 依 环 于 产生 这 个 结果 的 时 间 。 实 时 计算 机 系统 设计 的 人 员 常 常 区 分 
硬 实时 和 软 实时 系统 。 硬 实时 系统 是 那些 在 规定 的 时 限 前 做 出 响应 是 绝对 强制 性 要 求 的 系统 。 
软 实时 系统 是 那些 响应 时 间 虽 然 重要 ， 但 如 果 偶尔 错过 时 限 系统 依然 正常 运行 的 系统 。 软 实 
时 系统 同 交互 式 系统 的 区 别 是 ， 对 后 者 而 言 无 明显 的 时 限 。 例 如 ， 战 斗 机 的 飞行 控制 系统 是 
一 个 硬 实时 系统 ， 因 为 错过 时 限 可 能 导致 一 场 大 灾难 ， 而 过 程控 制 应 用 的 数据 获取 系统 是 软 
实时 的 ， 因 为 它 可 被 定义 为 按 固定 的 时 间 间隔 对 输入 传感器 采样 ， 但 容许 间歇 的 延迟 。 当 然 ， 
许多 系统 同时 有 硬 实 时 和 软 实 时 子 系统 。 事 实 上 ， 某 些 服 务 可 以 既 有 一 个 硬 时 限 ， 又 有 一个 
软 时 限 。 例 如 ， 对 某 个 警告 事件 的 响应 可 以 有 一 个 50ms 的 软 时 限 〈 用 于 做 出 最 佳 有 效 反应 ) 
和 一 个 200ms 的 硬 时 限 〈 保 证 不 对 设备 和 人 员 产 生 伤害 )。 在 50ms 和 200ms 之 间 ， 响 应 的 “ 价 
值 ”( 或 用 处 ) 下 降 。 

正如 这 些 定义 和 例子 所 说 明 的 ,“ 软 ”这 个 词 的 使 用 并 不 是 指 一 种 单一 的 需求 ， 它 还 伴随 
着 一 些 不 同 的 性 质 。 例 如 : 

“可 以 偶尔 错过 时 限 (通常 有 一 个 在 确定 的 时 间 间隔 内 的 错过 次 数 上 限 )。 

“可 以 偶尔 推迟 提供 服务 〈 同 样 ， 有 一 个 延迟 次 数 的 上 限 )。 

那些 可 被 偶尔 错过 但 推迟 提交 服务 并 没有 带 来 好 处 的 时 限 ， 叫 做 固 时 限 。 在 某 些 实时 系 
统 中 ， 对 任 选 的 固 部 件 可 以 给 出 概率 性 需求 (例如 ， 硬 服务 必须 每 300ms 产 生 一 个 输出 ， 至 少 
有 80% 的 时 间 ， 这 个 输出 由 一 个 固 部 件 X 产 生 ; 在 其 他 情况 下 ， 将 使 用 一 个 硬 的 但 功能 上 简单 
得 多 的 部 件 Y )。 | 

在 本 书 中 ,，“ 实 时 系统 ”这 个 术语 既 指 软 实时 又 指 硬 实时 。 在 专门 讨论 硬 实时 系统 的 地 方 ， 
将 明确 使 用 “ 硬 实时 ”这 个 术语 。 

在 硬 实时 或 软 实时 系统 里 ， 计 算 机 通常 同 某 个 物理 设备 直接 对 接 ， 用 于 监视 或 控制 那个 
设备 的 操作 。 所 有 这 些 应 用 的 关键 特征 是 计算 机 被 用 作 更 大 工程 系统 中 的 一 个 信息 处 理 部 件 。 
正 因为 如 此 ， 这 种 应 用 被 称 为 庶 入 式 计算 机 系统 。 


1.2 实时 系统 的 例子 


说 明了 实时 系统 和 嵌入 式 系统 的 含义 之 后 ， 现 在 给 出 使 用 它们 的 例子 。 
1.2.1 过 程控 制 


计算 机 作为 更 大 工程 系统 中 的 一 个 部 件 的 首次 使 用 是 在 20 世 纪 60 年 代 早期 的 过 程控 制 产 
业 中 ， 现 在 则 使 用 微 处 理 器 。 考 察 图 1-1 所 示 的 简单 例子 ， 计 算 机 完成 单一 的 活动 : 通过 控制 
赔 门 确保 管道 中 锌 体 的 均匀 流动 。 

当 检 测 到 流量 增加 时 ， 计 算 机 必须 通过 改变 阀门 角度 给 予 响应 ， 该 响应 必须 在 一 个 有 限 
时 间 段 里 发 生 以 使 管道 接收 端的 设备 不 致 过 载 。 注 意 ， 实 际 响 应 可 能 涉及 复杂 的 计算 ， 以 算 
出 新 的 阀门 角度 。 
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图 1-1 液体 控制 系统 
操作 员 控 制 台 






过 程控 制 计算 机 





Jeux. 二 


温度 转换 器 搅动 器 





图 1-2 过 程控 制 系统 


这 个 例子 只 展示 了 更 大 控制 系统 的 一 个 部 件 。 图 1-2 说 明了 艇 入 到 一 个 完整 过 程控 制 环境 
中 的 实时 计算 机 的 作用 。 此 计算 机 同 使 用 传感器 和 致 动 器 的 设备 进行 交互 。 阀门 是 致 动 器 的 
一 个 例子 ， 而 温度 和 压力 转换 器 是 传感器 的 例子 (转换 器 是 产生 一 个 同 被 测 物理 量 成 正比 的 
电信 号 的 设备 )。 计算 机 控制 传感器 和 致 动 器 的 动作 以 确保 在 恰当 的 时 间 执 行 正确 的 设备 操作 。 
需要 时 , 要 在 受 控 过 程 和 计算 机 之 间 插 入 模 数 ( 和 数 模 ) 转换 器 。 
1.2.2 制造 业 

为 保持 生产 的 低 成 本 和 提高 生产 率 ; 计算 机 在 制造 业 的 使 用 已 变 成 必 不 可 少 的 了 。 计 算 
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[4] 这 种 情况 的 最 好 例子 。 图 1-3 图 解说 明生 产 控制 计算 机 在 制造 过 程 中 的 作用 。 实 际 系统 由 诸如 
机 床 、 操 作 装 置 和 传送 带 等 各 种 机 械 装置 组 成 ， 它 们 都 需要 由 计算 机 控制 和 协调 。 


操作 员 控 制 台 







过 程控 制 计算 机 


li [l 


操作 装置 传送 带 





图 1-3 ,生产 过 程控 制 系统 


1.2.3 通信 、 指 挥 与 控制 

虽然 通信 、 指 挥 与 控制 是 一 个 军事 术语 ， 但 其 应 用 范围 很 广 ， 这 些 应 用 具有 相似 的 特征 ， 
例如 ， 机 票 预订 、 自 动 护理 病人 的 医疗 设施 、 空 中 交通 管制 和 远程 银行 记 账 。 每 个 系统 都 由 
一 组 复杂 的 策略 、 信 息 收 集 装 置 和 管理 过 程 组 成 ， 它 们 能 支持 决策 ， 并 提供 用 以 实现 它们 的 
手段 。 这 些 信 息 收 集 装 置 和 实现 决策 所 需 的 设备 分 布 在 一 个 广阔 的 地 理 区 域 。 图 1-4 表 示 了 这 
样 一 个 系统 。 





图 1-4 指挥 控制 系统 
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在 所 示 的 每 个 例子 里 ， 计 算 机 都 直接 同 现实 世界 的 物理 设备 对 接 。 为 了 控制 这 些 设备 ， 
计算 机 需要 按 固定 时 间 间 隔 对 测量 装置 进行 采样 ， 因 而 需要 二 个 实时 时 钟 : 这 里 通常 设 有 一 
个 操作 员 控 制 台 以 允许 人 工 干预 。 通 过 各 种 显示 (包括 图 形 显示 ) 方式 将 系统 状态 不 断 地 通 
知 操作 员 。 : 

系统 状态 变化 的 记录 放 在 数据 库 里 ， 可 由 操作 员 查 询 ， 或 者 用 于 在 系统 崩溃 时 进行 事后 
分 析 ， 或 者 是 为 管理 提供 信息 。 这 种 信息 确实 越 来 越 多 地 用 于 支持 在 每 天 系统 运行 时 所 做 的 
决策 。 例如， 在 化 学 工业 和 加 工 工业 中 ， 设 备 监控 不 单单 对 最 大 限度 地 提高 产量 是 重要 的 ， 
而 且 对 于 使 经 济 效 益 最 大 化 也 是 必 不 可 少 的 。 一 个 设备 关于 生产 的 决策 可 能 对 远 距离 的 其 他 
设备 有 严重 的 影响 ， 特 别 是 在 一 个 过 程 的 产品 被 用 作 另 一 过 程 的 原材料 的 时 候 。 

所 以 ， 一 个 典型 的 嵌入 式 计算 机 系统 可 用 图 1-5 表 示 。 控 制 系统 操作 的 软件 可 以 被 编制 成 
若干 模块 ， 它 们 反映 环境 的 外 部 特性 。 通 常 有 一 个 模块 包含 实际 控制 这 些 装置 所 必需 的 算法 ， 
一 个 模块 负责 记录 系统 状态 的 变化 ， 一 个 模块 检索 并 显示 这 些 变 化 ， 还 有 一 个 模块 同 操作 员 
进行 交互 。 





图 1-5 HRA ARAB 


1.3 实时 系统 的 特征 


实时 系统 具有 许多 特征 (固有 的 或 强加 的 )， 以 下 几 小 节 将 六 明 。 显然 ， 并 非 所 有 实时 系 
分 者 具有 所 有 这 些 特征 ; 然而 ， 用 于 实时 系统 有 效 编程 的 任何 通用 语言 《和 操作 系统 ) Aas 
须 有 支持 这 些 特 征 的 设施 。 
1.3.1 大 且 复 杂 

过 和合 们 认为 同 开发 软件 相关 联 的 大 多 数 问题 都 是 同 大 水 和 复 末 人 性 有 关 的 | 
Hi 问题。 编写 小 
“人 更 硬 大 问题 ， 因 为 设计 、 编 三、 维护 和 理解 都 由 一 个 人 完成 如果 使 用 这 个 就 人 
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人 离开 了 公司 或 机 构 ， 另 一 个 人 能 够 在 相对 短 的 时 间 里 学 会 这 个 程序 。 确 实 ， 有 一 种 构建 这 
种 程序 的 艺术 或 技巧 ， 而 且 小 就 是 美 。 

令 人 遗憾 的 是 ， 不 是 所 有 软件 都 有 这 种 理想 的 “小 巧 ” 特征 。 Lehman 和 Belady (1985) 
在 试图 描述 大 系统 的 特征 时 ， 拒 绝 了 那 种 认为 庞大 就 是 同 指令 数目 、 代 码 行 数 或 组 成 一 个 程 
序 的 模块 数目 成 正比 的 简单 而 且 或 许 是 直观 的 概念 。 他 们 将 庞大 同 多 样 性 (variety) 联系 起 
来 ,将 庞大 的 程度 同 多 样 性 的 数量 联系 起 来 。 诸 如 指令 数目 和 开发 工作 量 这 样 的 传统 指标 ， 
就 只 是 多 样 性 的 表征 。 


多 样 性 就 是 现实 世界 中 的 需要 和 活动 的 多 样 性 和 它们 在 程序 中 的 反映 。 但 现实 
世界 是 不 断 变化 的 ， 它 处 于 演变 之 中 ， 而 社会 的 需要 和 活动 也 是 这 样 。 因 此 ， 像 所 
有 复杂 系统 一 样 ， 上 庞大 程序 也 一 定 是 不 断 演 变 的 。 


由 艇 入 式 系统 的 定义 可 知 它们 必须 对 现实 世界 的 事件 做 出 响应 ， 因 此 必须 提供 同 这 些 事 
件 关联 的 多 样 性 ， 所 以 ， 程 序 将 呈现 出 不 受 欢 迎 的 庞大 性 质 。 不 断 变 化 的 概念 是 庞大 的 上 述 
定义 中 固有 的 。 为 应 付 现实 世界 中 不 断 变化 的 需求 而 重新 设计 或 重新 编制 软件 的 成 本 是 高 昂 
的 ， 所 以 在 实时 系统 的 生命 周期 中 要 进行 不 断 的 维护 和 增强 。 它 们 必须 是 可 扩充 的 。 

虽然 实时 系统 常常 是 复杂 的 ， 但 由 实时 语言 和 环境 提供 的 设施 使 这 些 复杂 系统 可 被 分 解 
成 能 有 效 管理 的 较 小 部 件 。 第 2 章 和 第 4 章 将 详细 研究 这 些 设施 。 
1.3.2 实数 处 理 


如 早 些 时 候 说 过 的 ， 许 多 实时 系统 涉及 一 些 工程 活动 的 控制 。 图 1-6 就 是 一 个 简单 控制 系 
统 的 例子 。 受 控 实 体 ， 即 设备 ， 有 一 个 输出 变量 向 量 y， 它 随时 间 变 化 ， 即 y(t)。 这 些 输 出 同 
理想 (或 参考 ) 的 信号 r(t) 进行 比较 ， 产 生 误 差 信 号 e(t)。 控 制 器 用 这 个 误差 向 量 把 设备 的 输 
入 变量 改变 为 u(t)。 对 于 非常 简单 的 系统 ， 控 制 器 可 能 就 是 一 台 连 续 信号 模拟 装置 。 





图 1-6 简单 控制 器 


图 1-6 举 例 说 明了 一 个 反馈 控制 器 。 这 是 最 普通 的 形式 ， 但 也 使 用 前 馈 控 制 器 。 为 了 计算 
出 如 何 改变 输入 变量 向 量 才能 在 输出 向 量 上 产生 理想 效果 ， 该 设备 必须 有 一 个 数学 模型 。 这 
些 模 型 的 推导 属于 另 一 个 学 科 一 一 控制 论 。 设备 的 模型 常常 是 一 个 一 阶 常 微分 方程 组 .这 些 
微分 方程 建立 了 系统 的 输出 同 设备 的 内 部 状态 和 其 输入 变量 之 间 的 联系 。 改 变 设 备 的 输出 涉 
及 求解 这 些微 分 方程 ， 以 得 到 所 需 的 输入 值 。 大 多 数 物理 系统 都 有 惯性 ， 所 以 改变 不 是 瞬时 
的 。 在 一 个 固定 时 间 段 里 使 系统 移动 到 一 个 新 的 设置 点 上 的 实时 需求 ， 将 增加 数学 模型 和 物 


理 系 统 所 需 处 理 的 复杂 性 。 事 实 上 ， 线 性 一 阶 方程 仅仅 是 系统 实际 特性 的 二 个 近似 ， 这 个 事 
实 也 展示 了 复杂 程度 。 
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图 1-7 一 个 简单 计算 机 化 的 控制 器 


由 于 这 些 困 难 、 模 型 的 复杂 性 、 不 同 (但 非 无 关 的 ) 输入 和 输出 的 数目 ; 大 多 数控 制 器 
都 用 计算 机 实现 。 将 数字 部 件 引入 到 系统 里 面 改 变 了 控制 循环 的 性 质 。 图 1-7 是 对 较 早 模型 的 
修改 。 标 记 了 * 的 项 目 现在 是 离散 值 ， 采样 和 保存 操作 由 一 个 模拟 /数字 转换 器 进行 ， 两 个 转 
换 器 都 在 计算 机 的 直接 控制 之 下 。 

在 计算 机 上 ， 微 分 方程 可 用 数值 方法 求解 出 来 ， 但 算法 本 身 需要 调整 以 将 设备 输出 正 
被 采样 这 个 事实 考虑 进来 。 控制 算法 的 设计 是 超出 本 书 范围 的 一 个 论题 ， 但 本 书 会 直接 涉及 
这 些 算法 的 实现 。 它 们 可 能 在 数学 上 是 复杂 的 并 要 求 较 高 精度 。 所 以 ， 对 实时 编程 语言 的 二 
项 基本 要 求 就 是 能 够 处 理 实数 或 浮 点 数 。 第 3 章 中 将 连同 其 他 数据 类 型 研究 这 个 问题 。 

1.3.3 极其 可 靠 和 安全 


社会 越 是 把 要 害 功能 的 控制 让 位 给 计算 机 } 就 迫使 计算 机 越 是 不 能 失效 总 银行 之 间 的 自 
动 资金 转移 系统 的 失效 会 导致 无 法 挽回 的 数 百 万 美元 的 损失 ; 发 电厂 的 二 个 有 故障 部 件 可 能 
导致 重症 监护 室 的 一 个 关键 的 生命 支持 系统 失效 ; 一 个 化 工厂 的 过 早 关闭 能 够 引起 对 设备 的 
严重 损坏 或 环境 危害 。 这 些 颇 为 惊人 的 例子 说 明 计 算 机 硬件 和 软件 必须 是 可 靠 的 和 安全 的 。 
即使 在 像 军 事 应 用 这 样 的 敌对 环境 里 ; 系统 的 设计 与 实现 也 必须 使 系统 只 能 在 受 控 的 方式 下 
失效 。 此 外 ， 在 需要 操作 员 交 互 的 地 方 ， 要 仔细 地 设计 界面 ， 以 把 人 为 错误 的 可 能 性 降低 到 
最 小 限度 。 

实时 系统 的 大 块头 和 复杂 性 加 重 了 可 靠 性 问题 。 不 仅 必须 考虑 到 应 用 中 固有 的 、 可 预见 
的 困难 ， 还 要 考虑 到 有 差错 的 软件 设计 引入 的 困难 。 

在 第 5 章 和 第 6 章 ， 将 讨论 生产 出 可 靠 、 安 全 的 软件 的 问题 ， 同 时 还 讨论 语言 中 所 引 炙 的 
一 些 用 以 对 付 预期 的 和 非 预期 的 出 错 状况 的 设施 。 这 个 问题 还 要 在 第 10 ~ 14 章 进一步 考察 ; 
1.3.4 独立 系统 部 件 的 并 发 控制 


侈 和 人 式 系统 通常 由 计算 机 和 若干 共存 的 外 部 构件 组 成 ， 计 算 机 程序 必须 同 它们 同时 交互 。 
并 行 地 存在 是 这 些 外 部 现实 世界 构件 的 本 性 。 在 我 们 典型 的 伐 入 式 计 算 机 例子 中 ,程序 要 同 
一 个 工程 系统 ( 由 许多 并 行 部 件 组 成 ， 如 机 器 人 、 传 送 带 、 传 感 器 、 致 动 器 ， 等 等 )、 计算 机 

显示 装置 、 操 作 员 控制 台 、 数 据 库 和 实时 时 钟 交互 。 幸 好 ， 现代 计算 机 的 速度 使 这 些 动作 能 
顺序 进行 ， 却 给 人 以 同时 进行 的 错觉 。 然 而 ， 在 某 些 幅 入 式 系统 中 就 不 是 这 样 ， 例 如 ， 在 地 
理 赴 分 布 的 各 种 站 点 收集 并 处 理 数据 ， BOE 2 TARAS OMNIA RIA RE S M Et SL 
的 情况 。 在 这 些 情况 下 ， 必 须 考虑 分 布 式 和 多 处 理 器 嵌 和 人 式 系统 。 
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对 表现 出 并 发 性 的 系统 而 言 ， 同 它 的 软件 生产 相关 的 一 个 主要 问题 是 如 何在 程序 结构 中 
表达 并 发 性 。 一 种 方法 是 把 它 完全 留 给 程序 员 ， 这 时 ， 程 序 员 就 必须 构造 系统 以 循环 执行 一 
个 处 理 各 种 并 发 任务 的 程序 序列 。 然 而 ， 有 若干 理由 说 明 为 什么 这 是 不 明智 的 : 

。 它 使 得 程序 员 本 已 困难 的 工作 更 复杂 ， 让 他 们 考虑 那些 同 任务 的 控制 无 关 的 结构 问题 ; 

“产生 的 程序 会 更 难 理 解 、 更 不 雅 观 ; 

。 使 程序 正确 性 证 明 更 困难 ; 

*。 使 问题 的 分 解 更 复杂 ; 

* 程序 在 多 个 处 理 器 上 的 执行 会 更 难以 实现 ; 

* 把 处 理 故 障 的 代码 放 在 哪里 更 成 问题 。 

较 早 的 实时 编程 语言 ， 例 如 RTL/2 和 Coral 66， 依 赖 操 作 系统 对 并 发 性 的 支持 。C 通 常 同 
Unix 或 POSIX 联 系 在 一 起 。 然 而 ， 较 现代 的 语言 ， 如 Ada、Java、Pearl 和 occam 直 接 支持 并 发 
编程 。 在 第 7、8、9 章 详细 研究 各 种 并 发 编程 模型 。 接 着 的 两 章 将 集中 讨论 在 有 设计 错误 的 情 
况 下 如 何 实现 并 发 进程 之 间 的 可 靠 通信 与 同步 。 在 第 14 章 ， 讨 论 分 布 式 环境 中 的 执行 问题 以 
及 容许 处 理 器 和 通信 失效 问题 。 

1.3.5 实时 设施 

在 任何 实时 系统 中 ， 响 应 时 间 都 是 决定 性 的 。 但 是 ， 要 设计 和 实现 保证 在 所 有 可 能 条 件 
下 都 能 在 适当 的 时 候 产生 适当 的 输出 是 非常 困难 的 。 为 此 ， 在 所 有 时 刻 充 分 地 利用 计算 资源 
常常 是 不 可 能 的 。 由 于 这 个 原因 ， 实 时 系统 通常 被 构建 成 处 理 器 的 使 用 都 有 可 观 的 空闲 能 力 ， 
以 保证 “最 坏 情 况 行为 ”不 致 在 系统 操作 的 关键 阶段 产生 任何 不 希望 的 延迟 。 

有 了 适当 的 处 理 能 力 ， 需 要 语言 和 运行 时 的 支持 使 程序 员 能 够 : 

。 规 定 动作 进行 的 时 间 。 

* 规定 动作 完成 的 时 间 。 

“对 所 有 时 间 需 求 都 不 能 满足 的 情况 做 出 响应 。 

* 对 时 间 和 需求 动态 改变 (例如 ， 模 式 改变 ) 的 情况 做 出 响应 。 

”这 些 叫做 实时 控制 设施 。 它 们 使 程序 能 够 同时 间 本 身 同步 。 例 如 ， 对 于 直接 数字 控制 算 
法 ， 必 须 在 每 天 的 某 个 时 间 〈 例 如 下 午 2 点 、 下 午 3 点 等 ) 或 以 固定 间隔 (例如 ，5 秒 ) 从 传 感 
器 读 采样 数据 ， 而 所 用 的 模 数 转换 器 的 采样 率 可 从 几 百 赫兹 到 几 百 兆赫 兹 变化 。 作 为 这 些 读 
数 的 结果 ， 还 需要 进行 其 他 的 动作 。 例 如 ， 在 一 个 发 电厂 里 ， 需 要 为 家 庭 消费 者 在 周一 到 周 
五 的 下 午 5 点 增加 电力 供应 。 这 是 对 从 工作 场所 回 家 的 家 庭 开 灯 、 做 饭 等 等 引起 的 峰值 需要 的 
响应 。 在 英国 ， 近 几 年 中 家 庭 电 力 需求 在 1990 年 世界 杯 足 球赛 决赛 结束 后 达到 峰值 ， 当 时 几 
百 万 观众 离开 他 们 的 起 居室 ， 打 开 司 房 的 灯 ， 并 打开 烧 水 壹 ,为 的 是 冲 一 杯 茶 或 咖啡 。 

模式 改变 的 例子 可 在 飞机 交通 管制 系统 中 找到 。 如 果 一 架 飞 机 发 现 压力 降低 ， 那 就 立即 
需要 所 有 计算 资源 放弃 原 有 工作 去 处 理 紧急 情况 。 

为 了 满足 响应 时 间 ， 必 须 使 系统 的 行为 是 可 预测 的 。 将 在 第 12、13 章 连同 语言 设施 〈 用 
于 辅助 对 时 间 性 极 强 的 操作 编程 ) 一 起 讨论 这 些 问 题 。 

1.3.6 局 硬件 接口 的 交互 


能 入 式 系统 的 特性 要 求 计算 机 部 件 同 外 部 世界 交互 。 它 们 需要 为 现实 世界 里 种 类 繁多 的 
设备 监视 传感器 和 控制 致 动 器 。 这 些 设备 经 由 输入 和 输出 寄存 器 同 计算 机 交互 ， 它 们 的 操作 
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需求 是 依赖 于 设备 和 依赖 于 计算 机 的 。 这 些 设备 还 产生 中 断 ， 以 通知 处 理 器 茶 些 操作 已 经 完 【12] 


> ae Z| HB HARA, 
ON po Nb REZ RURAL, AES LC 
AAS A OARS. ME, KARALLA, MAAC LRA A 
迫 的 本 性 ， 所 以 对 它们 的 控制 经 常 必须 是 直接 的 ， 不 再 经 过 操作 系统 的 功能 层次 。 此 外 。， 可 
Ag PE ae OK th box 级 编程 技术 。 
RIP tlm MERARI ARIEN IRERE, CELLA IUE AREE HAE M 
的 规格 说 明 。 
1.3.7 高 效 的 实现 和 执行 环境 

由 于 实时 系统 对 时 间 的 要 求 极 为 苛刻 ， 实 现 效率 要 比 在 其 他 系统 中 更 重要 。 有 趣 的 是 ， 
使 用 高 级 语言 的 主要 好 处 是 使 程序 员 能 将 实现 细节 抽象 掉 ， 集 中 精力 去 解决 手头 的 问题 。 但 
是 ， 和 嵌入 式 计算 机 系统 程序 员 不 能 享受 这 种 好 处 。 他 或 她 必须 不 断 地 关心 使 用 特定 语言 功能 
的 代价 。 例 如 ， 对 其 个 输入 的 响应 需要 在 一 毫秒 之 内 ， 那 么 就 没有 必要 使 用 一 个 执行 时 间 为 
一 微 秒 的 语言 功能 ! 

在 第 16 章 ， 将 要 讨论 执行 环境 在 提供 有 效 的 和 可 预测 实现 方面 的 作用 。 


小 结 


本 章 中 ， 实 时 系统 被 定义 为 : 


任何 必须 在 有 限 、 指 定 的 周期 内 对 外 部 发 生 的 输入 激励 做 出 响应 的 信息 处 理 活 
动 或 系统 。 


这 种 系统 主要 分 为 两 类 : 硬 实时 系统 ， 是 那些 在 规定 的 时 限 前 做 出 响应 是 绝对 强制 性 要 
求 的 系统 ， 软 实时 系统 ， 是 那些 响应 时 间 昌 然 重 要 但 如 果 时 限 偶 尔 错过 ， 系 统 功能 依然 正常 
运行 的 系统 。 

本 章 研究 了 实时 系统 或 嵌入 式 系 统 的 基本 特征 。 这 些 特征 是 : 

。 大 且 复杂 

* 实数 处 理 

“极其 可 靠 和 安全 

“独立 系统 部 件 的 并 发 控制 

* 实时 控制 

© 同 硬件 接口 的 交互 

* 高效 的 实现 
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第 2 章 设计 实时 系统 


2.1 记号 系统 的 级 别 2.7 原型 建造 

2.2 需求 规格 说 明 2.8 人 机 交互 

2.3 设计 活动 29 设计 的 管理 
2.4 设计 方法 小 结 

2.5 实现 相关 阅读 材料 

2.6 测试 习题 





显然 ， 任 何 实时 系统 开发 的 最 重要 阶段 是 生成 一 个 一 致 的 、 满 足 权威 性 需求 规格 说 明 的 
设计 。 在 这 一 点 上 ， 实 时 系统 同 其 他 计算 机 应 用 没有 什么 不 同 ， 尽 管 它们 的 总 体 规模 经 常 产 
生 非 常 基本 的 设计 问题 。 采 用 怎样 的 方法 、 工 具 和 技术 才能 确保 软件 生产 过 程 是 可 管理 的 ， 
并 构造 出 可 靠 的 正确 程序 ， 围绕 这 一 问题 的 研究 ， 形 成 了 软件 工程 学 科 。 假 定 读者 熟悉 软件 
工程 的 基本 原则 ， 因 而 这 里 仅 考虑 实时 代入 式 系统 的 特有 问题 和 需求 。 即 使 这 样 ， 也 不 可 能 
对 众多 设计 方法 学 给 出 一 个 详尽 说 明 。 设 计 问 题 本 身 并 不 是 本 书 关注 的 焦点 。 对 使 设计 得 以 
实现 的 语言 和 操作 系统 原 语 的 研究 才 是 本 书 的 主题 。 在 这 个 背景 下 ， 我 们 将 会 详细 研究 Ada 语 
言 、( 实 时 ) Java、occam2 语 言 和 C 语 言 (连同 实时 POSIX)。 读 者 可 以 参考 本 章 后 面 的 相关 阅 
读 材料 ， 了 解 关 于 设计 过 程 的 更 多 内 容 。 [15| 

虽然 几乎 所 有 设计 方法 都 是 自 顶 向 下 的 ， 但 它们 都 考虑 到 “ 较 低级 别 上 的 可 行 性 ”"。 本 质 
上 ， 所 有 设计 方法 都 包括 一 系列 从 初始 的 需求 描述 到 执行 代码 的 转换 。 本 章 给 出 了 这 条 路 所 
经 过 的 典型 阶段 的 概述 ， 这 几 个 阶段 是 : 

* 需求 规格 说 明 

“体系 结构 设计 

* 详细 设计 

* 实现 

* 测试 

本 章 也 会 讨论 以 下 重要 活动 : 

* 最终 实现 之 前 的 原型 建造 

* 人 机 界面 设计 

* 评价 实现 语言 的 标准 

因为 不 同 的 活动 是 独立 进行 的 需要 用 一 些 记号 去 编制 每 个 阶段 的 文档 。 因 此 ， 从 一 个 
阶段 到 另 一 个 阶段 的 转换 只 不 过 是 把 一 种 记号 翻译 成 另 一 种 记号 。 例 如 ， 编 译 器 从 用 编程 语 
言 表示 的 源 代码 生成 可 执行 代码 。 遗 憾 的 是 ， 其 他 的 转换 (上升 到 设计 层次 ) 没有 定义 得 这 
全 好 ， 通 常 是 因为 所 用 记号 过 于 含糊 和 不 严密 ， 以 至 不 能 完全 捕获 需求 或 设计 的 语义 。 
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2.1 记号 系统 的 级 别 


有 许多 种 方法 将 记号 (或 表示 ) 系统 分 类 。 如 McDermid (1989) 给 出 了 一 个 有 用 的 分 解 ， 
他 命名 了 三 种 技术 : 

1) 非 形式 化 的 

2) 结构 化 的 

3) 形式 化 的 

非 形式 化 方法 通常 使 用 自然 语言 和 各 种 不 严密 的 图 表 形式 。 它 们 的 优点 是 许多 人 (就 是 
所 有 说 这 种 语言 的 人 ) 理解 这 些 记号 。 然 而 ， 众 所 周知 ， 这 样 的 用 语 ， 例 如 英语 短语 ， 常 党 
有 多 种 不 同 的 解释 。 

结构 化 方法 通常 用 一 种 图 形 化 表示 方法 ， 但 不 像 非 形式 化 图 表 ， 这 些 图 是 有 明确 定义 的 。 
它们 由 少数 预定 义 的 部 件 以 受 控 的 方式 互 连 构 成 。 这 种 图 形 方式 也 有 一 个 用 某 种 明确 定义 的 
语言 给 出 的 语法 表示 方法 。 

尽管 结构 化 方法 可 以 被 设计 得 非常 严格 ， 但 它们 本 身 不 能 被 分 析 或 处 理 。 如 果 需 要 进行 
这 种 操作 ， 这 种 记号 系统 就 需要 有 数学 基础 。 具 有 这 种 数学 特性 的 方法 通常 被 认为 是 形式 化 
的 。 它 们 的 明显 优点 是 可 以 用 这 些 记号 系统 进行 精确 描述 。 此 外 ， 还 可 能 证 明 具 有 的 必要 性 
质 ， 例 如 ， 证 明 顶 层 设计 满足 需求 规格 说 明 。 形 式 化 技术 的 不 足 是 它们 不 易 被 那些 不 准备 或 
不 能 熟悉 这 套 记号 系统 的 人 所 理解 。 

实时 系统 的 高 可 靠 性 需求 已 经 导致 了 非 形式 化 方法 向 结构 化 方法 的 转移 ， 并 逐步 转向 形 
式 化 方法 。 严 格 的 验证 技术 也 开始 用 于 实时 系统 行业 ， 但 在 目前 ， 很 少 有 软件 工程 师 有 必要 
的 数学 技能 去 开拓 验证 的 全 部 潜能 。 另 外 ， 形 式 化 技术 通常 没有 足够 的 结构 化 工具 去 处 理 大 
型 的 规格 说 明 。 结 果 ， 结 构 化 和 形式 化 方法 的 结合 使 用 就 变 得 越 来 越 流行。 


2.2 需求 规格 说 明 


几乎 所 有 计算 项 目 开 始 都 用 非 形式 化 方法 描述 项 目 想 要 什么， 然后 紧 接 着 的 应 是 详尽 的 
需求 分 析 。 正 是 在 这 一 阶段 定义 系统 的 功能 。 根据 特定 的 实时 因素 ， 系 统 的 时 间 性 行为 应 该 
分 析 得 非常 清楚 ， 同 样 ， 可 靠 性 需求 和 当 部 件 失效 时 软件 的 预期 行为 也 要 分 析 清 楚 ， 在 需求 
分 析 阶 段 也 要 确定 应 对 软件 进行 何 种 验收 测试 。 

除了 系统 本 身 外 ,还 有 必要 建立 一 个 应 用 环境 的 模型 。 同 环 境 有 重要 交互 是 实时 系统 的 
一 个 特征 。 因 此 ， 比 如 最 大 中 断 率 、 动 态 外 部 对 象 (如 空中 交通 管制 系统 中 的 飞机 ) 的 最 大 
数量 和 失效 模式 等 问题 都 是 十 分 重要 的 。 

在 需求 分 析 中 使 用 一 些 结构 化 记号 和 技术 [如 PSL (Teichrow and Hershey，1977) 和 
CORE (Mullery, 1979) ], "ERU HI id C ARE AEE SER 此 外 ， 面 向 对 象 方 法 正 
变 得 越 来 越 普遍 (Monarchi and Puhr, 1992), 并 出 现 了 一 个 行业 标准 : UML 一 一 参看 2.4.4 节 。 
已 经 进行 了 一 些 需求 分 析 的 形式 化 方法 的 工作 ， 尤其 是 FOREST 项 目 (Goldsack and Finkelstein, 
1991), 它 为 处 理 需求 定义 了 合理 的 方案 和 需求 启发 方法 ， 最 近 ，Esprit II ICARUS 项 目 已 经 开 
发 出 ALBERT (Agent-oriented Language for Building and Eliciting Requirement for Real-Time 
Systems) iz; (Dubois4£, 1995; Bois, 1995 )。 尽 管 有 这 些 发 展 ， 但 没有 任何 结构 化 或 形式 
化 记号 系统 可 以 捕获 “顾客 ”未 能 提 及 的 需求 。 
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分 析 阶 段 提 供 权威 性 的 需求 规格 说 明 ， 而 设计 正 是 从 这 里 出 现 。 尽 管 这 是 软件 生命 周期 
中 的 最 关键 阶段 ， 但 是 自然 语言 文档 仍然 是 这 种 规格 说 明 的 常规 记号 系统 。 一 个 例子 是 ， 尽 
管 计算 机 语言 的 语法 能 够 容易 地 被 形式 化 表达 (使 用 某 种 BNF 的 形式 )， 其 语义 通常 却 要 用 
自然 语言 表达 。Ada 语 言 的 原始 版 本 就 是 如 此 “定义 ”的 ， 并 且 它 需要 一 个 常务 委员 会 裁决 
这 些 定义 文档 (这 是 一 个 国际 标准 ) 的 实际 含义 。 编 译 器 的 开发 者 必须 数 千 次 地 询问 这 个 委 
员 会 。Ada 的 当前 标准 仍然 使 用 自然 语言 定义 。 与 此 对 照 ，occam 语 言 的 语义 已 经 使 用 指称 
语义 来 定义 《Roscoe，1985 )。 这 使 编译 器 的 形式 化 验证 和 严格 的 程序 处 理 (如 转换 ) 工具 
成 为 可 能 。 

或 许 现在 使 用 相当 广泛 的 形式 化 方法 是 VDM (Jones，1986)。 另 一 个 获得 大 量 支持 的 技 
术 是 Z (Spivey，1989)。 这 两 种 方法 都 使 用 集合 论 和 谓词 逻辑 ， 代 表 了 在 非 形式 化 和 纯 结构 
化 技术 上 的 相当 可 观 的 改进 。 但 是 它们 现在 的 形式 不 能 完全 处 理 实时 系统 的 规格 说 明 。 

2.3 设计 活动 

大 型 伐 入 式 系统 的 设计 不 可 能 在 一 次 练习 中 进行 。 它 必须 通过 某 种 方式 构造 出 来 。 为 了 
管理 复杂 实时 系统 的 开发 ， 通 常 使 用 两 种 互补 的 方法 : 分 解 和 抽象 。 它 们 一 起 形成 了 大 多 数 
软件 工程 方法 的 基础 。 分 解 ， 正 如 它 的 字面 含义 ， 就 是 有 计划 地 将 复杂 系统 分 解 成 越 来 越 小 
的 部 分 ， 直 到 各 部 件 完 全 独立 ， 可 被 个 人 或 小 型 的 开发 组 理解 和 设计 。 在 分 解 的 每 一 级 上 ， 
应 该 有 适当 的 描述 级 别 和 记录 (表达) 该 描述 的 方法 。 抽 象 可 以 推迟 考虑 细节 ， 特 别 是 属于 
实现 的 细节 。 这 种 方法 可 以 得 到 整个 系统 和 它 所 包含 对 象 的 简化 视图 ， 不 过 它 仍然 包含 基本 
的 属性 和 特征 。 抽 象 和 分 解 的 使 用 遍及 整个 工程 过 程 ， 并 且 已 经 影响 了 实时 编程 语言 的 设计 
和 相关 的 软件 设计 方法 。 

如 果 需 求 规格 说 明 使 用 了 一 个 形式 化 记号 系统 ， 那 么 顶层 设计 可 以 使 用 同样 的 记号 系 
统 ， 因 而 可 以 证 明 该 设计 符合 规格 说 明 。 然 而 ， 许 多 结构 化 记号 系统 被 提倡 或 者 用 于 顶层 
设计 ， 或 是 完全 代替 形式 化 记号 。 其 实 ， 结构 化 的 顶层 设计 实际 上 可 能 就 是 权威 性 的 需求 
规格 说 明 。 

2.3.1 封装 

软件 的 层次 化 开发 引导 规格 说 明和 随后 的 程序 子 部 件 的 开发 。 抽 象 需要 规定 这 些 子 部 件 
应 该 有 明确 定义 的 作用 、 清 晰 无 歧义 的 相互 连接 和 接口 。 如 果 整 个 软件 系统 的 规格 说 明 仅 根 
据 当 前 子 部 件 的 规格 说 明 就 能 验证 ， 那 么 分 解 被 认为 是 可 合成 的 。 这 是 形式 化 程序 分 析 的 一 
个 重要 特性 。 

顺序 程序 特别 容易 按 合成 方法 来 处 理 ， 并 且 已 经 有 许多 技术 用 于 封装 和 表示 子 部 件 。Simula 
语言 引 入 了 重要 的 类 构造 。Modula-2 使 用 不 太 强大 但 依然 重要 的 模块 结构 。 较 近 的 面向 对 象 
语言 如 C++、Java 和 Eiffel 已 经 建立 在 类 构造 的 基础 上 。Ada 使 用 模块 和 类 型 扩展 的 组 合 以 支持 
面向 对 象 编程 。 第 4 章 深 入 讨论 这 些 设施 。 

虽然 对 象 提供 抽象 接口 ， 但 如 果 它们 用 于 并 发 环境 则 需要 额外 的 设施 。 洪 型 情况 涉及 到 
省 加 某 种 进程 形式 。 因 此 ， 进 程 抽象 将 是 本 书 要 关注 的 内 容 。 第 7 章 将 介绍 进程 的 概念 ， 第 8 
章 将 介绍 基于 共享 变量 的 进程 交互 。 但 是 更 受 控 的 和 抽象 接口 是 由 基于 消息 的 进程 通信 所 供 
的 ， 这 将 在 第 9 章 讨论 。 
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在 可 靠 的 颈 入 式 系 统 的 设计 和 实现 中 ， 对 象 和 进程 抽象 都 重要 。 
23.2 内 聚 和 耦合 

以 上 两 种 形式 的 封装 导致 使 用 带 有 定义 明确 的 (抽象 ) 接口 的 模块 。 但 是 大 型 系统 应 如 
何 分 解 为 模块 呢 ? 在 很 大 程度 上 ， 这 个 问题 的 答案 位 于 所 有 软件 设计 活动 的 核心 。 但 是 ,在 
讨论 这 些 方法 前 ， 人 恰当 的 做 法 是 更 多 考虑 实现 良好 封装 的 一 般 原 则 。 内 聚 和 耦合 就 是 用 来 描 
述 模块 间 关系 的 两 种 度量 。 

内 寨 关心 的 是 模块 内 部 结合 得 有 多 好 一 一 它 的 内 部 强度 。Allworth 和 Zobel (1987) 给 出 
了 6 种 测量 内 罕 移 度量 ,包括 从 最 弱 的 到 最 强 的 : 





“巧合 的 一 一 模块 的 元 素 只 是 由 非常 表面 的 方式 连接 在 一 起 ， 例 如 ， 在 同一 个 月 写 的 代 
码 。 

* 33889 — 模块 的 元 素 在 整体 系统 上 是 相关 的 ， 而 不 是 根据 实际 软件 相关 联 的 ， 例 如 ， 
所 有 的 输出 设备 驱动 程序 。 


* 时间 的 一 一 模块 的 元 素 在 差不多 的 时 间 执 行 ， 例 如 ， 启 动 例 程 。 

* 过 程 的 一 一 模块 的 元 素 在 程序 的 同一 部 分 一 起 使 用 ， 例 如 ， 用 户 界面 部 件 。 

“通信 的 一 一 模块 的 元 素 工 作 在 同一 数据 结构 上 ， 例 如 ， 分 析 输 入 信号 的 算法 。 

“功能 的 一 一 模块 的 元 素 一 起 工作 执行 单个 系统 功能 ， 例 如 ， 分 布 式 文件 系统 的 提供 。 

与 之 相 比 ， 耦 合用 来 度量 程序 模块 间 的 互相 依赖 性 。 如 果 两 个 模块 间 传 递 控制 信息 ， 它 们 
就 被 认为 拥有 高 耦合 〈 或 紧密 耦合 )。 不 然 ， 如 果 仅仅 是 数据 的 传递 则 是 松散 耦合 。 另 一 种 看 
待 耦合 的 方法 是 考虑 从 一 个 完整 的 系统 中 移 走 一 个 模块 并 用 另 一 个 模块 来 代替 它 的 容易 程度 。 

.在 所 有 的 设计 方法 中 ， 好 的 分 解 是 那 种 强 内 聚 和 松散 看 合 的 分 解 。 这 一 原则 在 顺序 程序 
设计 和 并 发 程序 设计 领域 中 同样 成 立 。 
2.3.3 形式 化 方法 

三 十 多 年 前 ，C.A.Petri 提 出 使 用 库 所 - 变迁 网 (Place-Transition net) (Brauer, 1980) 
来 为 并 发 系统 的 行为 建 模 。 这 些 网 由 带 标 记 的 有 向 双向 图 构成 ， 它 有 两 种 类 型 的 结 点 : S - 
元 素 ， 表 示 本 地 原子 状态 ，T - 元 素 ， 表 示 变 迁 。 图 的 弧 提 供 S 和 T 元 素 间 的 关联 。 图 上 的 标 
WRES- 元素 上 的 记号 (token), ， 记 号 的 移动 代表 程序 状态 的 改变 。 使 用 规则 去 指定 一 个 记 
号 何 时 和 如 何 可 以 从 一 个 S -元 素 经 由 变迁 元 素 移 动 到 另 一 个 S - 元 素 。Petri 网 有 数学 定义 并 
经 得 起 形式 化 分 析 。 

库 所 - 变迁 网 具有 简单 、 抽 象 和 图 形 化 这 些 有 用 的 特性 ， 并 提供 一 个 通用 框架 来 分 析 许 
多 种 并 发 和 分 布 式 系统 。 它们 的 不 足 是 可 能 产生 大 量 的 且 难 处 理 的 表示 。 为 了 对 这 些 系 统 进 
行 更 简明 的 建 模 ， 提出 了 谓词 - 变迁 网 (Predicate-Transition net)。 在 这 种 网 中 ， 一 个 S$ 一 元 
素 可 以 为 几 个 正规 S -元素 (T -元素 也 与 此 类 似 ) 和 记号 建 模 ， 这 个 S - 元 素 最 初 没有 内 部 结 
构 ， 可 以 用 数据 元 组 来 “着 色 ”。 

Petri 网 的 一 个 替代 物 是 定时 自动 机 和 模型 检查 (Timed Automata and Model Checking )。 
在 这 种 方法 中 ， 并 发 系统 用 一 组 有 限 状态 机 表示 ， 使 用 状态 探查 技术 来 研究 系统 的 可 能 行为 。 

Fetri 网 和 定时 自动 机 代表 了 一 种 为 并 发 系统 建 模 的 方法 。 其 他 严格 的 方法 要 求 所 选 实现 语 
言 的 形式 化 描述 。 有 了 这 些 公理 ， 就 可 能 建立 分 析 并 发 系统 行为 的 证 明 规则 。 但 是 ， 很 少 有 实 
现 语言 开发 时 考 虚 到 形式 化 描述 ( o2ccam 是 一 个 明显 的 例外 )。 道 信和 顺序 进程 (Communicating 
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Sequential Processes, CSP) 记号 系统 ， 就 是 为 规定 和 分 析 并 发 系统 建立 的 。 在 CSP 中 ， 一 个 进 
程 根据 外 部 事件 来 描述 ， 外 部 事件 就 是 该 进程 同 其 他 进程 的 通信 。 进 程 的 历史 用 踪迹 (trace) 
来 表示 ， 踪 迹 就 是 有 限 的 事件 序列 。 

可 以 分 析 用 CSP 表 示 的 系统 以 确定 它 的 行为 。 特 别 是 ， 可 以 检测 系统 的 安全 性 (safety) 
和 活性 (liveness), OwickiffLamport (1982) 将 这 两 个 概念 定义 为 : 

* 安全 性 一 一 “不 会 发 生 一 些 坏事 ”; 

* 活性 一 一 “会 发 生 一 些 好事 ”。 

模型 检查 技术 也 可 用 于 验证 系统 的 安全 性 和 活性 。 

尽管 实时 系统 是 并 发 的 ， 但 是 它们 也 有 时间 性 要 求 。 因 此 对 它们 的 分 析 需 要 适当 的 逻辑 
形式 。 时 态 逻 辑 是 对 命题 和 谓词 演算 的 扩展 ， 为 了 表示 与 实时 相关 的 特性 引入 了 一 些 新 的 算 
子 。 典 型 的 算 子 是 : always，sometime，until，since 和 leads-to。 例 如 ，sometime (<>) 
意味 着 其 后 紧 跟 着 的 性 质 在 将 来 的 某 些 时 刻 将 为 真一 -如 ，<> (y>N) 表示 最 终 y 将 大 于 N。 

许多 时 态 逻 辑 的 应 用 用 于 验证 已 经 存在 的 程序 ， 而 不 是 用 于 新 系统 的 层次 化 规格 说 明和 
严格 开发 。 人 们 可 能 要 批评 这 种 逻辑 过 于 全 局 化 且 非 模块 化 。 为 了 分 析 系 统 的 任何 一 部 分 ， 
它 通 常 都 需要 拥有 完整 的 程序 。 为 了 克服 这 些 困难 ， 可 以 扩展 形式 体系 以 便 将 它们 有 效 地 转 
换 为 逻辑 命题 。Lamport (1983), BarringerfüKuiper (1983) 倡导 这 种 方法 。 对 时 态 逻 辑 的 
进一步 改进 能 使 这 些 时 态 算 子 附 有 时 限 。 因 此， 如 前 面 的 例子 ，y 不 仅 将 大 于 N， 而 且 将 在 限 
定 的 时 间 内 发 生 。 形 式 体系 RTL (real-time logic, KHE) 是 时 间 同 一 阶 谓词 逻辑 (first- 
order predicate logic) 结合 起 来 的 好 例子 (Jahanian and Mok, 1986), 时 间 性 需求 的 表示 和 时 
限 调度 这 些 重要 问题 将 在 第 12 章 和 第 13 章 详细 讨论 。 


2.4 设计 方法 


众所周知 ， 早 些 时 候 大 多 数 实时 开发 者 提倡 对 象 抽象 过 程 ， 并 且 确 实 存在 一 些 形式 化 技 
术 能 用 以 规定 和 分 析 有 时 间 限 制 的 并 发 系统 。 然 而 这 些 技术 还 不 够 成 熟 ， 不 足以 构成 “尝试 
和 测试 ”的 设计 方法 。 实 时 工业 宁愿 使 用 适用 于 所 有 信息 处 理 系统 的 结构 化 方法 和 软件 工程 
方法 。 这 些 方法 没有 对 实时 领域 给 出 特别 的 支持 ， 并 且 缺 乏 利用 实现 语言 的 全 部 能 力 所 需 的 
丰富 性 。 

有 许多 结构 化 设计 方法 是 以 实时 系统 为 目标 的 : MASCOT. JSD. Yourdon, MOON. 
OOD. RTSA, HOOD, DARTS, ADARTS, CODARTS, EPOS, MCSE, PAMELA. HRT. 
HOOD. Octopus. Gomaa (1994) 建议 实时 设计 方法 应 有 四 个 重要 目标 ， 它 应 该 能 够 : 

1) 用 并 发 任务 构造 系统 

2) 通过 信息 隐藏 支持 可 重用 部 件 开 发 

3) 使 用 有 限 状 态 机 定义 行为 外 观 

4) 分 析 设 计 的 性 能 ， 以 确定 它 的 实时 特性 

上 面 的 方法 中 没有 一 个 满足 所 有 这 些 目标 。 例 如 ，RTSA 在 任务 构造 和 信息 隐藏 方面 较 弱 ， 
JSD 不 支持 信息 隐藏 或 有 限 状态 机 。 此 外 ， 这 些 方法 中 很 少 有 直接 支持 普通 的 硬 实时 抽象 (B 
如 ， 周 期 性 的 和 偶发 的 活动 )， 这 些 抽象 可 在 大 多 数 硬 实时 系统 中 找到 。 甚 至 更 少 有 方法 采用 
一 个 保证 能 对 最 终 系统 进行 有 效 时 间 性 分 析 的 计算 模型 。 因 此 使 用 这 些 方法 易于 出 错 ， 并 可 
能 形成 不 能 分 析 实 时 特性 的 系统 。 
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PAMELA (Process Abstraction Method for Embedded Large Application, RA AK 78 MJH 
的 进程 抽象 方法 ) (Cherry, 1986). HOOD V4 (Heitz, 1995) 和 HRT-HOOD (Burns and 
Wellings, 1994) 或 许 是 最 符合 上 述 需 求 的 三 种 方法 。PAMELA 人 允许 循环 活动 、 状 态 机 和 中 断 
处 理 器 的 图 形 表 示 。 但 是 ， 该 记号 系统 没有 得 到 资源 抽象 的 支持 ， 因 此 设计 不 一 定 经 得 起 时 
间 性 分 析 。HRTHOOD 支 持 四 个 需求 中 的 三 个 ， 但 是 它 缺 乏 使 用 有 限 状 态 机 定义 行为 外 观 的 
能 力 。 而 且 ， 因 为 仅仅 是 基于 对 象 的 ， 它 对 部 件 重 用 的 支持 较 弱 。HOOD V4 试图 支 克服 
HOOD V3 的 缺点 ， 同 时 结合 HRTHOOD 的 优点 。 但 是 ， 它 对 可 重用 体系 结构 设计 的 支持 较 弱 ， 
并 且 不 能 保证 设计 的 性 能 分 析 。 

EPOS (Lauber, 1989) 是 另 一 种 支持 整个 实时 系统 生命 期 的 方法 。 它 提供 了 三 种 规格 说 
明 语 言 : 一 种 用 于 描述 顾客 需求 ， 一 种 描述 系统 规格 说 明 ， 一 种 用 于 描述 项 目 管理 、 配 置 管 
理 和 质量 保证 。 像 HOOD 和 HRT-HOOD 一 样 ， 这 种 系统 规格 说 明 有 图 形 化 表示 和 文本 表示 。 
周期 性 的 和 偶发 的 活动 都 能 表示 (但 当 处 理 这 种 图 表 时 这 些 活动 并 不 直接 可 见 ) ， 还 可 以 规定 
时 间 性 需求 。 并 且 ， 在 EPOS 的 环境 里 已 经 研究 了 应 用 程序 的 实时 行为 的 早期 识别 (Lauber， 
1989)， 但 是 这 项 工作 依赖 于 将 系统 规格 说 明 做 成 动画 ， 而 不 是 时 间 性 分 析 。 

这 些 方法 的 比较 可 参看 Hull 等 (1991)、Cooling (1991)、Calvez (1993) 和 Gomaa 
(1994) 的 工作 。 7 

如 在 引言 中 扼要 说 过 的 ， 大 多 传统 软件 开发 方法 都 结合 一 个 生命 周期 模型 ， 在 该 模型 中 
识别 下 列 活动 : 

“需求 规格 说 明 一 一 在 这 一 阶段 ， 产 生 系 统 所 需 的 功能 性 和 非 功能 性 行为 的 权威 规格 说 

8j; 

* 体系 结构 设计 一 一 在 这 一 阶段 ， 开 发 系统 的 顶层 描述 ; 

* 详细 设计 一 一 在 这 一 阶段 ， 规 定 完整 的 系统 设计 ; 

* 编码 一 一 在 这 一 阶段 ， 实 现 这 个 系统 。 

* 测试 一 一 在 这 一 阶段 ， 测试 系统 的 功效 。 

对 于 硬 实时 系统 ， 这 种 模型 的 明显 缺点 是 时 间 性 问题 将 仅仅 在 测试 期 间 才 被 识别 ， 甚至 
更 糟 ， 在 软件 部 署 使 用 以 后 才 发 现 。 

通常 结构 化 设计 方法 使 用 一 种 图 , 在 图 上 带 标 注 的 箭头 表示 通过 系统 的 数据 流 ， 第 头 指 
向 的 结 二 点 表示 对 数据 进行 转换 的 点 (也 就 是 处 理 )。 在 以 下 几 节 ， 将 简要 概述 JSD 和 Mascot3， 

这 两 个 技术 在 实时 领域 都 被 广泛 使 用 ， 然后 介绍 Ada 专 有 的 方法 HRTHOOD。HRT- HOOD 是 

专门 针对 硬 实 时 系统 的 方法 ， 第 17 章 将 使 用 它 。 最 后 研究 UML。 
2.4.1 JSD 


Jackson 的 系统 开发 方法 (Jackson，1975) 使 用 一 一 套 精确 的 记号 进行 规格 说 明 (顶层 设计 ) 
和 实现 《详细 设计 )。 有 趣 的 是 ， 实 现 并 不 仅仅 是 规格 说 明 的 详细 再 描述 ， 而 是 对 最 初 的 规格 
说 明 应 用 转换 后 的 结果 ， 其 目的 是 提高 效率 。 
JSD 图 由 一 些 进程 和 一 个 连接 网 络 组 成 。 有 三 种 进程 : 

“输入 进程 ， 检 测 环 境 中 的 活动 ， 并 将 它们 传送 给 系统 。 

* 输出 进程 ， 将 系统 响应 传送 给 环境 。 

* 内 部 进程 。 
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进程 可 以 用 两 种 不 同方 法 连接 : 

。 通 过 被 缓冲 的 异步 数据 流连 接 

* 通 过 状态 向 量 (或 审视 ) 连接 

状态 向 量 连接 允许 一 个 进程 不 需要 进行 通信 就 看 到 另 一 进程 的 内 部 状态 。 

JSD 图 给 出 系统 的 体系 结构 。JSD 图 中 还 要 加 入 表述 系统 中 流动 的 信息 的 适当 数据 结构 ， 
以 及 加 入 到 每 个 处 理 中 的 活动 的 细节 。 但 是 ，JSD 设 有 一 个 标准 方式 加 入 时 间 性 约束 ， 因 此 ， 
必须 在 图 中 增加 非 形式 化 的 标注 。 

当然 ，JSD 提 供 的 是 表达 设计 的 设施 一 一 它 不 是 为 你 做 设计 。 设 计 不 可 避免 地 要 结合 人 的 
经 验 和 创造 性 〈 如 同 编程 )。 人 们 常 说 结构 化 和 形式 化 方法 抑制 创造 力 ， 并 不 是 这 样 的 。 这 些 
技术 提供 的 是 用 于 表达 设计 的 易于 理解 的 记号 ， 检 查 创造 性 得 到 体现 的 技术 ， 即 检查 设计 是 
否 符合 规格 说 明 、 软 件 是 否 实现 了 设计 。 

用 JSD 设 计 的 焦点 是 数据 流 。 因 此 ,“ 好 ”的 设计 应 该 并 和 人 这 个 自然 流 。 前 面 已 经 讨论 了 
导致 良好 分 解 的 因素 。 这 些 正 是 影响 JSD 设 计 (以 及 所 有 其 他 设计 方法 ) 的 问题 。 进 程 自然 地 [23] 
分 为 少数 几 个 不 同 的 类 型 ， 针 对 这 些 类 型 的 自 顶 向 下 的 设计 方法 将 使 设计 易于 实现 。 

以 数据 流 为 中 心 的 另 一 优点 是 时 间 性 约束 常常 被 表示 为 流 经 系统 的 数据 的 属性 。 中 断 产 
生 控 制 信号 ， 本 质 上 说 ， 控 制 信号 是 中 断 的 转换 。 这 些 转换 在 进程 内 进行 ， 它 们 要 占用 时 间 。 
进程 的 合适 选择 将 提供 可 调度 的 、 明 显 的 时 限 (尽管 不 能 直接 检查 实际 的 可 调度 性 )。 

完成 设计 之 后 ， 必 须 用 系统 化 的 方式 来 完成 实现 。 在 实现 语言 中 有 基于 消息 的 并 发 模型 
时 ， 这 项 工作 要 容易 得 多 ， 因 为 设计 过 程 和 缓冲 的 数据 流 都 能 作为 程序 进程 编码 。 但 是 ， 这 
能 导致 进程 增生 和 非常 低 效 的 实现 。 为 对 付 这 种 情况 ， 可 采用 两 种 方法 : 

。 转换 设计 使 得 只 需要 较 少 的 进程 。 

“得 到 过 量 进程 的 程序 ， 并 转换 它 以 减少 并 发 对 象 的 数目 。 

”大 多 数 语 言 不 采用 转换 技术 (occam2 又 是 一 个 明显 的 例外 ， 因 为 它 的 语义 是 形式 地 定义 
的 )。JSD 中 提倡 称 为 倒置 (inversion) 的 转换 。 在 这 种 方法 中 ， 设 计 进 程 被 过 程 代替 ， 并 带 
有 一 个 单独 的 调度 进程 控制 这 些 过 程 集合 的 执行 ; 就 是 说 ， 不 是 五 个 进程 的 一 个 管线 ， 而 是 
每 次 当 数 据 项 出 现 的 时 候 ， 调 度 进程 将 调用 这 五 个 进程 (如 果 这 五 个 进程 是 相同 的 ， 显 然 仅 
仅 只 有 一 个 过 程 ， 它 将 被 调用 五 次 )。 这 里 ， 时 间 性 约束 又 引起 问题 ， 因 为 倒置 期 间 时 间 性 约 
束 难于 维护 。 

尽管 JSD 最 初 不 是 用 于 实时 应 用 ， 但 它 已 经 成 功用 于 一 些 非常 大 型 的 系统 。 已 经 可 以 从 
JSD 导 出 Ada 或 occam2 的 实现 ， 许 多 代码 能 自动 生成 (Lawton and France, 1988), 

2.4.2 Mascot3 


虽然 TSD 仅 仅 最 近 才 用 于 实时 领域 ，Mascot 却 是 特别 为 实时 软件 的 设计 、 构 造 和 执行 而 开 
发 的 。Mascot1 出 现 于 20 世 纪 70 年 代 早期 ， 但 是 很 快 被 Mascot2 取 代 ， 在 80 年 代 又 被 Mascot3 
取代 。 

Mascot3 的 特色 是 使 用 图 形 化 的 数据 流 网 络 和 层次 化 设计 。 模 块 化 是 这 种 方法 的 关键 ， 它 
具有 用 于 设计 、 构 造 、 实 现 和 测试 的 多 个 可 识别 的 模块 。 重 要 的 是 ，Mascot3 设 计 可 以 用 图 形 
化 形式 也 可 以 用 文本 形式 表示 。 

除了 数据 流 外 ，Mascot3 描 述 可 以 包含 : 
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。 子 系统 

。 通 用 双向 通信 数据 区 (intercommunication data areas, IDA) 

。 活 动 (进程 ) 

“通道 【channels， 起 缓冲 区 作用 的 IDA ) 

* 信息 池 (pools， 起 信息 仓库 作用 的 IDA) 

“服务 器 ( 同 外 部 硬件 设备 通信 的 设计 元 素 ) 

Mascot3 给 出 了 使 用 通道 和 信息 池 所 必需 的 同步 机 制 。 子 系统 可 以 包含 其 他 元 素 集 ， 也 可 
进一步 包含 子 系统 。 

Mascot3 设 计 的 实现 可 以 用 两 种 完全 不 同 的 方法 完成 。 一 种 是 使 用 一 种 适当 的 并 发 程序 设 
计 语 言 ， 另 一 种 是 使 用 标准 的 运行 时 的 执行 程序 。 在 Mascot2 中 ， 算 法 的 编码 用 一 种 顺序 程序 
设计 语言 来 实现 ， 如 Coral66 或 RTL2 (FORTRAN、Pascal、 C 和 Algol 60 也 在 Mascot2 中 使 用 )， 
然后 这 个 软件 在 Mascot 运 行 时 的 执行 程序 的 控制 下 工作 。 并 发 语言 的 使 用 使 整个 系统 的 实现 
可 以 用 一 种 语言 完成 ， 因 而 明显 易于 集成 。 

像 Ada 这 样 的 语言 ， 支 持 分 解 并 有 基于 消息 的 同步 模型 (预定 义 的 或 可 编程 的 )， 则 明显 
为 实现 活动 提供 更 有 利 的 解决 方案 。 在 Mascot3 中 使 用 Ada 正 得 到 越 来 越 多 的 支持 ， 尽 管 它们 
的 基本 动作 模型 并 不 完全 兼容 (Jackson，1986)。 但 是 应 该 注意 ， 进程 增生 的 问题 在 Mascot 
中 仍然 存在 。 

2.4.3 HRT-HOOD 


HRT-HOOD (Burns and Wellings, 1995) 不 同 于 Mascot 和 JSD ， 它 直接 用 于 硬 实时 系统 
的 设计 。 它 把 设计 过 程 看 作 是 逐步 增加 的 特别 规约 (commitment) 的 发 展 过 程 (Burns and 
Lister，1991)。 这 些 规约 定义 了 系统 设计 的 特性 ， 而 这 些 特性 是 在 更 详细 层次 上 工作 的 设计 
者 不 能 任意 修改 的 。 在 某 个 特定 层次 上 没有 给 出 规约 的 那些 设计 方面 ， 正 是 更 低层 设计 必须 
承担 的 职责 (obligation) 的 内 容 。 在 设计 的 早期 ,根据 对 象 定义 和 关系 ， 也 许 已 经 有 了 系统 
体系 结构 的 规约 。 然 而 ， 所 定义 对 象 的 详细 行为 仍然 是 进一步 的 设计 与 实现 必须 要 满足 的 职 
责 内 容 。 

对 设计 求 精 的 过 程 也 就 是 将 职责 转换 为 规约 的 过 程 ， 它 常常 要 服从 主要 由 运行 环境 所 强 
加 的 区 来。 运行 环 境 指 的 是 一 系列 硬件 和 软件 部 件 (如 处 理 器 、 任 务 分 派 器 、 设 备 驱动 程序 
等 )， 而 系统 就 建立 在 它们 之 上 。 运 行 环境 会 给 设计 强加 资源 方面 的 约束 (如 处 理 器 速度 、 通 
信 带 宽 等 ) 和 机 制 的 约束 (如 中 断 优先 级 、 任 务 分 派 、 数 据 加 锁 等 )。 在 一 定 程度 上 运行 环境 
是 不 可 改变 的 ， 这 些 约束 是 固定 的 。 

职责 、 规 约 和 约束 对 任何 应 用 的 体系 结构 设计 有 着 重要 的 影响 。 因 此 ，HRTHOOD 定 义 
了 体系 结构 设计 的 两 种 活动 : 

* 逻辑 体系 结构 设计 活动 

“物理 体系 结构 设计 活动 

逻辑 体系 结构 设计 使 规约 具体 化 ， 这 些 规约 能 够 独立 于 执行 环境 强加 的 约束 来 制定 ， 其 根 
本 目的 是 要 满足 功能 需求 (尽管 存在 的 时 间 性 需求 ， 如 端点 到 端点 的 截止 时 间 ， 将 极 大 地 影响 
逻辑 体系 结构 分 解 )。 物 理 体系 结构 设计 则 要 将 这 些 功能 需求 和 其 他 约束 一 起 进行 考 虚 ， 并 且 
包括 了 非 功能 需求 。 物 理 体系 结构 形成 了 一 个 基础 ， 用 以 评估 一 旦 进行 详细 设计 和 实现 ， 应 用 
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的 非 功能 需求 是 否 得 到 满足 。 它 致力 于 解决 时 间 和 可 依赖 性 需求 ， 以 及 必要 的 可 调度 性 分 析 ， 
而 所 有 这 些 都 将 保证 一 旦 系统 被 建立 起 来 ， 它 将 不 仅 在 值 域 上 而 且 在 时 域 上 都 能 正确 运作 。 

虽然 物理 体系 结构 设计 是 对 膛 辑 体系 结构 的 精 化 ， 但 它 的 开发 常常 是 欠 代 和 并 发 的 过 程 ， 
在 这 个 过 程 中 ， 两 种 模型 都 会 被 开发 或 修改 。 在 物理 体系 结构 设计 中 包含 的 分 析 技 术 应 被 尽 
早 使 用 。 我 们 可 以 定义 初始 的 资源 预算 ， 然 后， 这 个 预算 随 着 逻辑 体系 结构 的 求 精 而 修改 和 
修正 。 通 过 这 种 方式 ， 可 以 从 需求 到 部 署 跟踪 “可 行 ”的 设计 。 

关于 HRT-HOOD 的 更 多 细节 将 在 第 17 章 讨论 ， 在 这 一 章 将 有 一 个 〈 按 这 种 设计 方法 的 ) 
案例 研究 ， 以 说 明 这 一 章 之 前 涉及 的 一 些 问题 。 

2.4.4 统一 建 模 语 言 (UML) 

过 去 十 年 , 开发 出 了 过 多 面向 对 象 的 分 析 和 设计 方法 (Graham (1994) 说 有 超过 60 种 ! ). 
但 是 ， 由 于 缺乏 标准 化 ， 妨 碍 了 业界 的 使 用 。 在 实时 领域 ， 由 于 面向 对 象 技术 未 能 对 硬 实时 
系统 提供 足够 的 支持 而 使 情况 更 糟糕 。 这 是 由 于 无 视 正 在 形成 的 对 实时 程序 分 析 的 理论 支撑 ， 
这 种 理论 支撑 现在 能 支持 大 多 数 应 用 需求 ( 见 13 章 )。 

最 近 取 得 了 一 个 重大 成 就 ， 对 象 管理 组 织 (Object Managment Group, OMG) 开发 出 了 
统一 建 模 语言 (Unified Modeling Language, UML) 作为 标准 的 面向 对 象 的 记号 系统 。UML 
是 一 种 用 于 软件 密集 系统 中 的 制造 品 的 可 视 化 、 制 定 规格 、 构 造 和 形成 文档 的 图 形 化 语言 
(Booch 等 ，1999)。 很 明显 ，UML 将 成 为 未 来 十 年 主流 的 面向 对 象 分 析 和 设计 记号 系统 。 其 
至 其 他 面向 对 象 的 方法 ， 如 Fusion ( Coleman 等 ，1994)， 正 在 转变 为 这 个 新 的 记号 系统 。 

EUMLE, BAAR RAK ASS ME EME HE (Douglass, 1999): 

“ 对 象 模 型 (包含 数据 属性 、 状 态 、 行 为 、 标 识 和 职责 ) 一 -能 捕获 系统 结构 ; 

* 用例 (use case) 场景 一 能 从 系统 响应 用 户 输入 中 识别 出 关键 输出 ; 





“行为 建 模 一 一 用 有 限 状 态 机 (状态 图 ) 促进 对 系统 行为 进行 动态 建 模 ; 
* 包装 一 一 提供 将 建 模 元 素 按 组 组 织 起 来 的 机 制 |; 





* 并发、 通信 和 同步 的 表示 一 一 为 现实 世界 实体 建 模 ; 

“物理 拓扑 模型 一 一 使 用 部 署 图 显示 组 成 系统 的 设备 和 处 理 器 ; 

“支持 面向 对 象 模式 和 框架 一 -可 以 表示 常见 问题 的 通用 解决 方案 。 

但 是 ， 像 它 的 名 字 所 瞳 示 的 ，UML 提 供 的 是 一 种 语言 而 不 是 方法 。 因 此 ， 有 必要 为 设计 
过 程 增加 一 些 记 号 。Douglass (1999) 提出 将 ROPES (Rapid Object-Orientented Process for 
Embedded Systems， 人 嵌入 式 系统 的 快速 面向 对 象 过 程 ) 同 UML 一 起 使 用 。ROPES 基 于 交互 式 
生命 周期 ， 面 向 快速 原型 生成 。 这 些 活动 包括 : 分 析 、 设 计 、 实 现 和 测试 。 同 其 他 UML 过 程 
一 样 Jacobson 等 ，1999)，ROPES 是 由 用 例 驱 动 的 。 一 组 用 例 按 优先 级 、 风 险 、 共 同性 而 被 
识别 和 排序 。 然 后 将 它们 用 于 产生 系统 原型 (可 能 使 用 自动 代码 生成 设施 )。 

针对 UML 的 当前 工作 (Selic 等 ，2000) 正在 研究 如 何 为 使 用 DML 剖面 为 实时 系统 建 模 定 
义 标准 模式 。 要 解决 的 问题 包括 : 如 何 为 时 间 和 其 他 资源 建 模 ， 如 何 预测 设计 的 性 能 (使 用 
可 调度 性 分 析 )。 


2.5 实现 


在 顶层 需求 规格 说 明和 可 执行 机 器 代码 之 间 的 一 个 重要 台阶 是 编程 语言 。 用 于 实时 系统 
的 实现 语言 的 开发 是 本 书 的 中 心 主题 。 语 言 设计 依然 是 一 个 非常 活路 的 研究 领域 ， 虽 然 系统 
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设计 应 该 自然 地 通 往 实现 ,但 是 大 多 数 现代 语言 的 表达 能 力 同 当前 的 设计 方法 学 不 匹配 。 只 
有 理解 了 在 实现 阶段 能 做 些 什 么 ， 才 能 采取 适当 的 设计 方法 。 
有 三 类 编程 语言 正 用 于 或 曾经 用 于 实时 系统 的 开发 。 它 们 是 汇编 语言 、 顺 序 系统 实现 语 


. 言 和 高 级 并 发 语言 。 


2.5.1 汇编 语言 

最 初 ， 大 多 数 实时 系统 用 嵌入 式 计 算 机 的 汇编 语言 编程 。 这 主要 是 因为 大 部 分 微型 机 不 
能 很 好 地 支持 高 级 编程 语言 ， 而 且 汇 编 语言 编程 看 来 也 是 惟一 能 访问 硬件 资源 的 高 效 实现 的 
方法 。 

使 用 汇编 语言 的 主要 问题 是 它们 面向 机 器 而 不 是 面向 问题 。 程 序 员 可 能 被 与 算法 无 关 的 
细节 所 妨碍 ， 结 果 算 法 本 身 变 得 难于 理解 。 这 使 开发 成 本 很 高 ， 而 且 在 发 现 错误 或 要 增强 功 
能 的 时 候 ， 要 修改 程序 很 困难 。 

出 现 进 一 步 的 困难 是 因为 程序 不 能 从 一 种 机 器 移植 到 另 一 种 上 ， 程 序 必须 重 写 。 而且 如 
果 需 要 员工 在 另 一 种 机 器 上 工作 ， 就 必须 重新 培训 。 

2.5.2 顺序 系统 实现 语言 : 

由 于 计算 机 功能 变 得 更 强 ， 编 程 语言 更 成 熟 ， 以 及 编译 技术 的 进步 ， 所 以 用 高 级 语言 写 
实时 软件 的 优点 超过 了 缺点 。 由 于 缺乏 像 FORTRAN 这 样 的 语言 ， 特 别 为 戏 人 式 编程 开发 了 新 
的 语言 。 例 如 ， 在 美国 空军 中 通常 使 用 Jovial。 在 英国 ， 国 防 部 将 Coral 66 标 准 化 ， 大 型 工业 
企业 如 ICI (英国 化 学 工业 公司 ) 将 RTL/2 标 准 化 了 。 最 近 ，C 和 C++ 编 程 语言 变 得 流行 起 来 。 

所 有 这 些 语言 有 一 个 共同 点 一 一 它们 是 顺序 的 。 它 们 为 实时 控制 和 可 靠 性 提供 的 设施 也 较 
弱 。 由 于 这 些 人 缺点， 它们 常常 需要 依靠 操作 系统 的 支持 和 人 嵌入 汇编 代码 。 


2.5.3 高 级 并 发 编程 语言 

尽管 应 用 定制 语言 (如 用 于 伐 和 人 式 计 算 机 应 用 的 顺序 系统 实现 语言 ， 用 于 数据 处 理应 用 
的 COBOL 和 用 于 科学 和 工程 应 用 的 FORTRAN) 使 用 得 越 来 越 多 ， 但 是 ， 在 20 世 纪 70 年 代 ， 
由 于 基于 计算 机 的 系统 变 得 更 大 更 复杂 ， 计 算 机 软件 的 生产 也 逐步 变 得 更 困难 。 

通常 把 这 些 问题 称 为 软件 危机 。 人 们 已 经 认识 到 这 种 危机 的 几 种 征兆 (Booch, 1986): 

“响应 性 一 一 已 经 自动 化 了 的 生产 系统 常常 不 能 满足 用 户 需要 ; 

* 可靠 性 一 一 软件 不 可 靠 ， 常 常 不 能 按 规格 说 明 执行 ; 

* 费用 一 一 很 少 能 预测 出 软件 开发 费用 ; 

* 可 修改 性 一 一 软件 维护 繁杂 、 昂 贵 和 易 出 错 ; 

“及 时 一 一 软件 常常 延迟 交付 ; 

“ 可 移植 性 一 一 在 一 个 系统 上 使 用 的 软件 很 少 能 用 于 另 一 个 系统 ; 

“效率 一 一 软件 开发 工作 不 能 优化 使 用 涉及 的 资源 ， 

软件 危机 影响 的 最 好 例证 也 许 就 是 美国 国防 部 (DoD) 想 为 它们 所 有 的 应 用 寻找 一 种 公 
共 高 级 编程 语言 。 因 为 在 20 世 纪 70 年 代 ，DopD 注 意 到 硬件 价格 开始 逐步 下 降 ， 而 嵌 人 式 软件 
的 费用 上 升 。 他 们 估计 ，1973 年 ， 花 在 软件 上 的 费用 达到 30 亿 美元 。 关 于 编程 语言 的 调查 显 
示 ， 在 DoD 的 民 人 式 计 算 机 应 用 中 至 少 使 用 了 450 种 通用 编程 语言 和 不 兼容 的 专门 语言 。1976 
年 他 们 用 一 组 要 求 对 现存 语言 进行 评估 ， 评 估 得 出 四 个 主要 结论 (Whitaker, 1978): 

* 没有 一 个 现存 语言 满足 要 求 。 l 
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。 单 个 语言 是 理想 的 目标 。 

"语言 设计 的 当前 水 平 能 满足 这 些 要 求 。 

。 应 选择 一 个 合适 语言 作为 开发 新 语言 的 基础 ， 建 议 用 Pascal、PL/I 和 Algol 68. 

结果 是 在 1983 年 诞生 了 一 个 新 的 语言 Ada。1995 年 ，Ada 语 言 被 修订 以 反映 10 年 来 的 使 用 
经 验 和 编程 语言 设计 的 进步 。 

虽然 自从 20 世 纪 70 年 代 初 期 以 来 ，Ada 语 言 就 主导 了 舱 人 式 计 算 机 编程 语言 的 研究 ， 但 是 
其 他 的 语言 也 出 现 了 ， 如 Modula-1 (Wirth，1977b)， 它 由 Wirth 开 发 ， 用 于 机 器 设备 编程 ， 
它 的 目的 是 

战胜 汇编 语言 ， 或 者 至 少 是 有 力 地 攻击 它 。 

也 许 在 这 一 领域 最 成 功 的 语言 是 C (Kernighan and Ritchie，1978)。 的 确 ， 这 种 语言 无 可 
争辩 地 成 为 当今 世界 最 流行 的 编程 语言 。 

许多 从 实现 和 使 用 Modula 中 得 到 的 经 验 反 馈 到 Modula-2 ( Wirth，1983 )， 这 是 一 个 更 通 
用 的 系统 实现 语言 。C 语 言 产 生 了 许多 语言 变种 ， 最 重要 的 是 C++， 它 直接 支持 面向 对 象 程序 
设计 。 其 他 新 语言 包括 : PEARL， 在 德国 ， 它 广泛 用 于 过 程控 制 应 用 ; Mesa (Xerox 公司 ， 
1985 ) ， 被 Xerox 用 于 办 公 自 动 化 设备 ; CHILL (CCITT, 1980), ， 它 是 为 响应 CCITT 的 需求 开 
发 的 ， 用 于 电信 应 用 编程 。 黄 至 有 Basic 的 实时 版 本 ， 尽 管 缺 乏 许 多 高 级 语言 的 常规 特征 (如 
用 户 自 定义 类 型 )， 但 它 提供 了 并 发 编程 设施 和 其 他 与 实时 有 关 的 特征 。 

随 着 互联 网 的 到 来 ，Java 语 言 变 得 流行 起 来 。 虽 然 最 初 不 适合 实时 编程 ， 最 近 ， 已 经 为 
产生 Java 的 实时 版 本 进行 了 大 量 工作 (US National Institute of Standards and Technology, 
1999; Bollella%, 2000; J Consortium, 2000). 

Modula, Modula-2, PEARL, Mesa, CHILL, JavafiAda#}# BRIER ARIES, EN 
LRA GELS BRA BLASER te. 与 此 相 比 , occam 语 言 是 一 个 小 得 多 的 语言 。 
虽然 有 常规 控制 结构 和 非 递归 过 程 ， 但 是 它 没 有 对 编写 大 型 复杂 系统 提供 实际 支持 。occam 的 
开发 则 传输 机 (transputer) 紧密 相关 (May and Shepherd, 1984) (传输 机 有 一 种 带 有 片 存储 
器 和 链 路 控制 器 的 处 理 器 ， 链 路 控制 器 使 得 多 传输 机 系统 易于 构造 )。occam 在 松散 耦合 的 分 
布 式 颈 人 应 用 领域 扮演 重要 角色 。 但 是 ， 最 近 它 已 经 不 流行 了 。 

2.5.4 通用 语言 设计 标准 

虽然 实时 语言 可 能 主要 是 为 满足 嵌 人 式 计算 机 系统 编程 的 需求 而 设计 的 ， 但 是 它 很 少 被 
限制 在 这 一 领域 。 大 多 数 实 时 语言 也 用 作 应 用 的 通用 系统 实现 语言 ， 例 如 编译 器 和 操作 系统 。 

Young (1982) 列 出 了 下 列 六 条 标准 作为 实时 语言 设计 的 基础 (它们 可 能 相互 冲突 )， 安 全 
性 、 可 读 性 、 灵 活性 、 简 明 性 、 可 移植 性 和 高 效 性 。Ada 的 最 初 需求 也 包括 一 个 类 似 的 清单 。 

1. 安全 性 

语言 设计 的 安全 性 表示 程序 错误 能 否 被 编译 器 或 语言 运行 时 支持 系统 自动 检测 出 来 的 程 
度 的 度量 。 能 被 语言 系统 检测 出 来 的 错误 的 类 型 和 数量 有 明显 的 限制 ， 例 如 ， 编 程 者 的 妆 辑 
错误 不 能 被 自动 检测 出 来 。 所 以 ， 安全 的 语言 必须 有 很 好 的 结构 和 可 读 性 ， 以 便 能 容易 地 发 
现 错误 。 : 

安全 性 的 好 处 包括 : 

* 开发 程序 时 可 以 更 早 发 现 错误 





可 全 面 降低 费用 。 
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。 编 译 时 检查 不 会 增加 运行 时 开销 一 一 相对 于 编译 ， 程 序 更 多 时 间 是 在 执行 。 

安全 性 的 缺点 是 它 可 能 导致 更 复杂 的 语言 ， 增 加 编译 时 间 和 使 编译 器 更 加 复杂 。 

2. 可 读 性 

语言 的 可 读 性 依赖 于 多 种 因素 ， 包 括 : 适当 选择 关键 字 、 定 义 类 型 的 能 力 和 程序 模块 化 
的 设施 。Young 指 出 : 


旨 在 提供 足够 清晰 的 语言 记号 系统 ， 使 得 只 需要 读 程序 就 能 容易 地 理解 有 关 具 
体 程序 的 操作 的 主要 概念 ， 不 需要 求助 于 辅助 的 流程 图 和 说 明 书 。 


良好 可 读 性 的 优点 包括 : 

。 降 低 文档 费用 

。 增 加 安全 性 

。 增 加 可 维护 性 

主要 缺点 是 它 通常 增加 程序 的 长 度 。 

3. 灵活 性 

语言 必须 足够 灵活 ， 它 应 允许 程序 员 用 直观 一 致 的 风格 来 表达 所 有 需要 的 操作 。 否 则 ， 
就 像 老 式 的 顺序 语言 一 样 ， 程 序 员 将 不 得 不 常常 求助 于 操作 系统 命令 或 插入 机 器 码 来 达到 预 
期 目标 。 
4. 简明 性 
简明 性 是 任何 设计 都 值得 实现 的 目标 ， 从 国际 空间 站 到 简单 计算 器 的 设计 。 在 编程 语言 
简明 性 有 下 列 优点 : 
“使 产生 编译 器 所 需 的 工作 量 最 小 
“降低 程序 员 培训 费用 
* 消除 由 于 对 语言 特征 的 误解 而 造成 编程 错误 的 可 能 性 
灵活 性 和 简明 性 也 同 语言 的 表达 能 力 (表达 各 种 问题 的 解决 方案 的 能 力 ) 和 易 用 性 ( 易 
于 使 用 ) 相关 。 

5. 可 移植 性 

在 一 定 程度 上 ， 程 序 应 独立 于 它 运行 的 硬件 。Java 的 主要 主张 之 一 就 是 程序 一 次 编译 、 到 
处 运行 。 对 于 实时 系统 ， 这 一 点 很 难 做 到 (甚至 有 了 可 移植 的 二 进 制 代码 也 不 行 ) ( Venners， 
1999; X/Open Company Ltd.，1996 )， 因 为 任何 程序 总 有 一 部 分 涉及 到 硬件 资源 的 操纵 。 但 
是 ,语言 必须 有 能 力 将 程序 中 与 机 器 有 关 的 部 分 同 与 机 器 无 关 的 部 分 隔离 。 

6. 高 效 性 

在 实时 系统 中 ， 必 须 保证 响应 时 间 ， 所 以 语言 必须 产生 高 效 和 可 预知 运行 时 间 的 程序 。 
应 避免 使 用 不 能 预知 运行 时 开销 的 机 制 。 很 明显 ， 效 率 需 求 必须 同安 全 性 、 灵 活性 和 可 读 性 
需求 相 平衡 。 


2.6 测试 


大 多 数 实时 系统 有 很 高 的 可 靠 性 需求 ， 这 是 实时 系统 的 本 性 ， 因 此 测试 显然 必须 极其 严 
格 。 测 试 的 全 面 策略 涉及 到 许多 技术 ， 大 多 数 适用 于 所 有 软件 产品 。 所 以 本 书 假设 读者 熟悉 
这 些 技术 。 


= 
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实时 并 发 程序 测试 的 困难 在 于 大 多 数 难 以 追踪 的 系统 错误 通常 是 进程 间 微妙 交互 的 结果 。 
错误 也 常常 与 时 间 相 关 ， 并 且 它 们 仅 在 稀有 的 状态 下 出 现 。Murphy 定 律 指出 ， 这 些 稀有 状态 
也 是 极为 重要 的 ， 并 且 它 们 仅仅 发 生 在 受 控 系统 处 于 关键 状态 时 。 应 该 强调 的 是 ， 适 当 的 形 
式 化 设计 方法 不 能 降低 对 测试 的 需要 。 它 们 是 互补 的 。 

当然 ， 测 试 并 不 限于 最 终 装 配 好 的 系统 。 设 计时 做 的 分 解 和 程序 模块 (包括 过 程 ) 内 的 
构造 形成 部 件 测试 的 自然 体系 结构 。 实 时 系统 测试 特别 重要 (和 困难 ) 的 是 不 仅 要 测试 在 正 
确 环 境 中 行为 是 否 正 确 ， 而 且 要 测试 在 任意 不 正确 环境 中 系统 是 否 可 依赖 。 所 有 错误 恢复 的 
路 径 必须 演练 ， 并 且 错 误 的 影响 要 研究 清楚 。 

为 帮助 复杂 的 测试 活动 ， 一 个 逼真 的 测试 床 是 很 有 吸引 力 的 。 对 于 软件 ， 这 种 测试 环境 
称 为 模拟 器 (simulator). 
模拟 器 


模拟 器 是 模仿 能 入 了 实时 软件 的 工程 系统 的 动作 的 程序 。 它 模拟 中 断 的 生成 和 执行 其 他 
实时 MO 动作 。 使 用 模拟 器 ,“ 正 常 ” 和 “不 正常 ”系统 行为 都 能 建立 起 来 。 甚 至 在 最 终 的 系 
统 已 经 完成 以 后 ， 某 些 特定 的 错误 状态 只 能 用 模拟 器 安全 地 进行 实验 。 核 反应 堆 的 熔 裔 就 是 
一 个 很 好 的 例子 。 

模拟 器 能 使 实时 系统 中 预期 的 事件 序列 准确 地 再 现 。 另 外 ， 模 拟 器 能 以 某 种 方式 重复 进 
行 实验 ， 而 这 在 实际 运行 的 操作 中 通常 是 不 可 能 的 。 但 是 ， 为 了 如 实 重 现 同时 发 生 的 动作 ， 
也 许 需要 多 处 理 器 的 模拟 器 。 此 外 ， 应 该 指出 ， 对 于 非常 复杂 的 应 用 ， 也 许 不 可 能 构造 一 个 
合适 的 模拟 器 。 

虽然 模拟 器 没有 高 可 靠 性 需求 ， 但 是 它们 在 所 有 其 他 方面 都 是 实 实在 在 的 实时 系统 。 虽 
然 偶 尔 的 错误 是 可 以 容忍 的 ， 但 是 它们 自身 也 必须 经 过 彻底 的 测试 。 在 没有 可 靠 性 需求 的 实 
时 系统 中 (如 飞行 模拟 器 )， 有 一 种 常用 技术 就 是 从 共享 资源 中 去 掉 互 斥 保护 , 这 可 提高 效率 ， 
但 代价 是 间歇 性 的 失效 。 利 用 嵌入 式 系 统 自己 的 处 理 模型 ， 模 拟 器 的 构造 也 是 很 容易 的 。 第 
15 章 将 说 明 如 何 将 外 部 设备 看 成 硬件 进程 ， 同 时 将 中 断 映射 到 可 用 的 同步 原 语 。 如 果 采 用 这 
种 模型 ， 那 么 用 软件 进程 去 替换 硬件 进程 就 相对 简单 直观 了 。 

尽管 如 此 ， 模 拟 器 是 非 同 小 可 的 、 昂 贵 的 系统 。 它 们 甚至 可 能 需要 特殊 硬件 。 在 NASA 的 
航天 飞机 项 目 中 ， 模 拟 器 的 费用 超过 了 实时 软件 本 身 。 这 笔 钱 花 得 很 值 ， 因 为 在 模拟 器 “ 飞 
行 ”期 间 发 现 了 许多 系统 错误 。 


27 原型 建造 


软件 开发 的 标准 “瀑布 ”方法 的 步骤 是 :需求 分 析 、 规 格 说 明 、 设 计 、 实 现 、 集 成 、 测 
试 和 交付 ， 这 一 方法 有 个 根本 性 的 问题 ， 那 就 是 最 初 的 需求 或 规格 说 明 阶段 的 错误 只 能 在 产 
操 交 付 以 后 才 发 现 (或 最 好 情况 是 在 测试 期 间 发 现 )。 在 这 个 后 期 阶段 改正 这 些 错误 极为 费时 ， 
且 代 价 极 高 。 原 型 建造 试图 通过 给 顾客 提供 一 个 系统 仿制 品 来 更 早 地 找 出 这 些 错误 。 

原型 的 主要 目的 是 帮助 开发 者 确保 在 需求 规格 说 明 中 抓 住 顾客 真正 想 要 的 是 什么 。 这 包 
括 两 个 方面 : 

* 需求 规格 说 明正 确 吗 (顾客 想 要 什么 ) 9 

* 需求 规格 说 明 完整 吗 (包括 了 顾客 想 要 的 所 有 东西 吗 ) ? 
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运行 原型 的 好 处 之 一 是 顾客 能 实际 经 历 那些 以 前 只 能 模糊 理解 的 状况 。 在 这 种 活动 中 不 
可 避免 地 要 对 需求 进行 修改 。 特 别 是 ， 也 许 会 出 现 新 的 错误 状态 和 恢复 路 径 。 

在 规格 说 明 技术 不 是 形式 化 的 地 方 ， 原 型 建造 可 用 于 建立 信心 ， 即 对 整体 设计 一 致 性 的 
信心 。 用 一 个 大 型 的 数据 流 图 ， 原 型 可 以 帮助 检查 所 有 需要 的 连接 是 否 恰当 ， 以 及 所 有 通过 
系统 的 数据 流 是 否 确实 访问 了 所 需 的 活动 。 

为 了 成 本 效益 好 ， 构 造 的 原型 必须 比 实际 软件 便宜 (便宜 很 多 )。 因 此 ， 使 用 同 最 终 系统 
相同 标准 的 相同 设计 方法 是 没有 意义 的 。 显 然 ， 使 用 更 高 级 的 语言 能 显著 降低 费用 。APL 语 
言 (Iverson, 1962) 已 经 普遍 用 于 原型 建造 ， 也 使 用 了 功能 式 程序 设计 语言 和 逻辑 程序 设计 
语言 。 它 们 的 优点 是 它们 确实 能 捕获 系统 重要 的 功能 性 行为 ， 而 不 要 求 详细 的 非 功 能 性 方面 。 
最 近 ， 设 计 工 具 已 经 集成 了 代码 生成 功能 。 但 是 ， 这 通常 不 能 产生 能 用 于 实际 实现 的 高 质量 
代码 ， 但 能 用 于 原型 建造 。 这 种 原型 的 明显 缺点 是 它们 不 能 演练 应 用 程序 的 实时 方面 。 为 做 
到 这 一 点 需要 进行 系统 模拟 。 

前 面 曾 指出 证 明 程 序 在 所 有 操作 条 件 下 都 满足 时 间 约 束 是 非常 困难 的 。 检 查 设计 是 否 可 
行 的 一 个 方法 是 尝试 模拟 软件 的 行为 。 通 过 假设 代码 结构 和 处 理 器 执行 速度 ， 可 以 构造 模型 
去 模仿 实时 特征 。 例 如 ， 在 仍 能 满足 时 间 约 束 的 情况 下 ， 该 模型 可 以 显示 出 它 能 处 理 的 最 大 
中 断 率 。 

大 型 实时 系统 的 仿真 是 昂贵 的 ， 它 的 开发 费用 很 高 ， 并 且 每 个 仿真 器 的 运行 可 能 需要 相 
当 多 的 计算 资源 。 通 常 一 个 系统 要 进行 几 百 次 这 样 的 仿真 。 不 过 ， 考 虑 到 建立 有 错误 的 实时 
系统 可 能 造成 的 经 济 和 社会 后 果 ， 那 么 ， 这 些 费 用 是 值得 的 。 


28 人 机 交互 


从 广义 上 说 ， 所 有 实时 系统 都 要 涉及 或 者 影响 到 人 。 事 实 上 ， 大 多 数 涉 及 到 执行 软件 同 
一 个 或 多 个 操作 员 CA) 之 间 的 直接 通信 。 由 于 人 的 行为 是 实时 系统 中 最 大 的 变异 源 ， 所 以 ， 
HCI (Human-Computer Interaction， 人 机 交互 ) 部 件 的 设计 是 整个 设计 中 最 关键 的 部 分 之 一 ， 
有 许多 差劲 的 HCI 设 计 的 例子 ， 以 及 由 于 这 种 弱点 造成 的 悲惨 后 果 。 例 如 ， 在 三 英里 岛 
(Three Mile Island) 发 生 的 核 事 故 中 ， 在 一 系列 的 紧急 事件 发 生 过 程 中 ， 由 于 操作 员 不 能 应 
付 数量 极 多 的 显示 信息 ， 做 出 了 一 些 错误 动作 ， 因 而 发 生 事故 (Kemeny 等 ，1979)。 

HCI 部 件 构造 的 基本 设计 原则 的 研究 目前 非常 活跃 。 在 这 方面 的 研究 工作 停滞 多 年 以 后 ， 
现在 认为 HCI 是 良好 工程 软件 (所 有 软件 ) 生产 的 核心 问题 。 第 一 个 重要 的 问题 是 模块 化 问题 ， 
HCI 的 活动 应 该 被 隔离 开 ， 并 应 指定 定义 明确 的 界面 。 这 些 界面 自身 被 构造 成 为 两 部 分 ， 两 部 
分 的 功能 有 很 大 不 同 。 第 一 类 定义 操作 员 和 软件 之 间 传 递 的 对 象 。 第 二 类 必须 规定 如 何 向 用 
户 展示 这 些 对 象 和 如 何 从 用 户 抽取 这 些 对 象 。 第 一 类 界面 部 件 的 产 格 定义 必须 包括 判定 ， 它 
是 关于 在 给 定 的 系统 状态 下 ， 操 作 员 可 以 采取 的 动作 。 例 如 ， 某 种 命令 也 许 需 要 权限 ， 或 者 
在 系统 有 某 种 倾向 时 ， 某 些 命令 只 能 明智 地 或 安全 可 靠 地 完成 。 比 如 电 操纵 飞机 将 忽略 使 其 
偏离 安全 飞行 区 域 的 命令 。 , 

在 所 有 交互 系统 中 一 个 特别 重要 的 设计 问题 是 : 谁 来 控制 ?一 个 极端 是 由 人 直接 控制 计 
算 机 完成 特定 功能 ， 另 一 个 极端 是 计算 机 完全 自己 执行 (尽管 它 偶尔 问 操作 员 一 些 信息 ) ， 显 
然 ， 大 多 数 实时 系统 是 这 两 个 极端 的 混合 ， 称 为 混合 式 主动 系统 (mixed initiative system), 
有 时 由 用 户 控制 对 话 (如 给 出 新 命令 )， 另 一 些 时 候 由 系统 控制 (抽取 必要 数据 以 完成 接 到 的 
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命令 )。 

界面 部 件 设 计 的 主要 动机 是 捕获 所 有 由 用 户 引 起 的 在 界面 控制 软件 中 的 出 错 ， 而 不 是 应 
用 软件 或 实时 系统 其 余部 分 的 出 错 。 如 果 能 做 到 这 一 点 ， 那 么 这 个 应 用 软件 就 能 假设 完美 的 
用 户 ， 结 果 ， 系 统 的 设计 和 实现 就 得 到 简化 (Burns，1983 )。 在 这 个 讨论 中 “出 错 ”(error) 
这 个 术语 是 指 无 意识 的 动作 。Reason (1979) 把 它 称 为 “失误 ”( slip)。 他 将 术语 “错误 ” 
(mistake) 定义 为 有 意 的 出 错 动作 。 虽 然 界面 可 能 可 以 阻止 导致 危险 的 错误 ， 但 是 它 不 可 能 将 
操作 参数 的 合理 改变 当 作 错误 。 适 当 培训 和 监督 操作 员 是 消除 这 些 错误 的 惟一 途径 。 

虽然 失误 是 不 可 避免 的 (所 以 必须 加 以 防止 ), 但 是 如 果 第 二 个 界面 部 件 ， 也 就 是 实际 操 
作 员 输入 /输出 操作 模块 明确 定义 的 话 ， 那 么 失误 发 生 的 频率 将 明显 降低 。 但 是 ， 在 这 个 上 下 
XE, 明确 定义 ”这 个 术语 本 身 就 是 难以 定义 的 。WO 模 块 的 规格 说 明 本 质 上 是 心理 学 家 的 
领域 。 我 们 必须 从 最 终 用 户 或 操作 员 的 模型 开始 。 但 是 ， 存 在 许多 不 同 的 模型 ，Rouse (1981) 
给 出 了 一 个 有 用 的 概述 。 从 对 这 些 模型 的 理解 ， 可 以 建立 设计 的 原则 ， 其 中 三 条 重要 的 原则 
是 : 

1) 可 预测 性 一 一 应 该 给 用 户 提 供 足 够 的 数据 ， 以 便 他 们 能 从 一 个 命令 的 知识 无 歧义 地 导 
出 该 命令 可 能 产生 的 结果 。 

2) 可 交换 性 一 一 命令 参数 的 顺序 不 应 该 影响 命令 的 含义 。 

3) 灵敏 性 一 一 如 果 系 统 有 不 同 的 操作 模式 ， 则 总 是 显示 当前 的 操作 模式 。 

前 两 条 原则 由 Dix 等 提出 〈1987)。 实 时 系统 有 额外 的 困难 ， 因 为 改变 系统 状态 的 参与 者 
不 仅仅 是 操作 人 员 。 中 断 可 能 改变 操作 模式 ， 操 作 员 输 入 的 异步 本 性 可 能 导致 下 面 的 状况 : 
当 操 作 员 初始 化 命令 时 它 是 正确 有 效 的 ， 在 新 的 操作 模式 中 ， 同 样 的 命令 可 能 就 不 能 正确 执 
行 了 。 

HCI 涉 及 到 的 许多 工作 是 屏幕 设计 ， 它 使 得 数据 显示 更 没有 歧义 性 ， 数 据 输入 只 需 最 少 次 
数 的 击 键 。 但 是 ， 还 有 其 他 因素 涉及 到 工作 站 的 人 类 工作 环境 学 和 操作 员 的 工作 环境 这 样 更 
广泛 的 问题 。 屏 幕 设 计 可 以 用 原型 进行 测试 但是， 职业 满意 度 是 一 种 在 更 长 时 间 间 隔 才能 
测量 出 来 的 度量 ， 原 型 系统 的 测试 时 间 是 达 不 到 的 。 操 作 员 可 能 每 天 工作 8 小 时 ， 一 周 工作 5 
天 ， 年 复 一 年 。 如 果 增 大 工作 压力 (如 空中 交通 控制 )， 那 么 ， 职 业 满意 度 和 性 能 就 严格 地 依 
赖 于 以 下 几 点 : 

* 必须 完成 的 大 批 相互 依赖 的 任务 

* 操作 员 具有 的 控制 级 别 

* 操作 员 对 整个 系统 操作 的 理解 程度 

* 允许 操作 员 执 行 的 建设 性 任务 的 数量 

给 操作 员 提 供 “ 正 在 发 生 什 么 ”的 图 示 将 提高 他 们 对 问题 的 理解 。 的 确 ， 一 些 过 程控 制 
系统 可 以 用 图 形 、 画 面 或 电子 报表 来 表示 系统 行为 。 操 作 员 可 以 用 数据 来 试验 ， 以 便 为 可 以 
改进 性 能 的 方法 建 模 。 很 有 可 能 将 决策 支持 系统 加 入 到 控制 循环 中 ， 这 样 操作 员 就 能 看 到 微 
小 的 操作 参数 改变 能 带 来 什么 效果 。 这 样 ， 生 产 率 就 能 提高 ， 操 作 员 的 工作 环境 就 能 改善 。 
它 也 可 能 减少 错误 的 发 生 。 


2.9 设计 的 管理 
本 章 试图 概述 与 实时 软件 设计 有 关 的 一 些 重要 问题 。 只 有 规格 说 明 、 设 计 、 实 现 和 测试 
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这 些 活动 都 高 质量 地 完成 才能 产生 可 靠 、 正 确 的 产品 。 现 在 有 范围 广泛 的 技术 可 帮助 达到 这 
一 质量 要 求 。 恰 当 使 用 定义 明确 的 高 级 语言 是 本 书 讨 论 的 主要 问题 。 为 达到 理想 的 目标 ， 编 
程 和 设计 两 方面 都 需要 进行 管理 。 现 代 并 发 程序 设计 语言 在 这 种 管理 过 程 中 有 重要 作用 。 

达到 质量 要 求 的 关键 在 于 足够 的 验证 和 确认 。 在 设计 和 实现 的 所 有 阶段 中 ， 需 要 有 明确 
定义 的 过 程 去 保证 必要 的 技术 和 行动 已 经 正确 执行 了 。 在 需要 高 质量 保证 的 地 方 ， 定 理 证 明 
器 和 模型 检验 器 被 用 于 形式 化 地 验证 指定 的 部 件 。 许 多 其 他 结构 化 活动 ， 如 危险 性 分 析 、 软 
件 故 障 树 分 析 、 失 效 模式 和 影响 分 析 、 代 码 审查 等 都 被 更 广泛 地 使 用 。 用 软件 工具 来 辅助 验 
证 和 确认 的 需要 日 益 增加 。 这 些 工 具 扮 演 着 重要 角色 ， 它 们 的 使 用 可 能 减少 人 工 审查 的 需要 。 
所 以 ， 这 些 工 具 本 身 必须 是 质量 极 高 的 。 

但 是 ， 支 持 工具 并 不 能 代 赫 训练 有 素 、 经 验 丰 富 的 员工 。 本 书 描述 的 严格 的 软件 工程 技 
术 的 应 用 和 和 语言 特征 的 使 用 确实 对 实时 系统 的 质量 和 成 本 意义 重大 。 这 些 技术 的 实践 者 对 社 
会 负 有 责任 ， 为 保证 嵌入 式 系统 的 安全 ， 他 们 应 理解 和 应 用 所 需 的 任何 知识 。 许 多 死亡 是 由 
于 软件 错误 造成 的 。 只 有 当 工 业界 远离 临时 的 (ad hoc) 权宜 过 程 、 非 正式 方法 和 不 适当 的 低 
级 语言 ， 才 有 可 能 在 将 来 不 发 生 类 似 错误 。 


小 结 


本 章 概 述 了 实时 系统 设计 和 实现 所 涉及 的 主要 阶段 。 它 们 通常 包括 : 需求 分 析 、 规 格 说 
明 、 系 统 设 计 、 详 细 设计 、 编 码 和 测试 。 实 时 系统 的 高 可 靠 性 需求 指出 ， 只 要 可 能 ， 就 应 该 
采用 严格 的 方法 。 

为 了 管理 复杂 实时 系统 的 开发 ， 要 求 适当 地 应 用 分 解 、 封 装 和 抽象 。 层 次 化 设计 方法 隔 
离子 部 件 或 模块 ， 这 些 子 部 件 或 模块 是 基于 对 象 的 或 基于 进程 的 。 两 种 形式 的 模块 都 应 是 强 
ARAMA G3. 

实现 是 本 书 关注 的 主要 问题 ， 它 必然 要 用 到 编程 语言 。 早期 的 实时 语言 缺少 足够 的 表达 
能 力 去 充分 地 处 理 这 一 领域 的 应 用 。 最 近 的 语言 已 经 尝试 加 入 并 发 和 出 错 处 理 设施 。 这 些 特 
征 的 讨论 将 在 后 续 各 章 进行 。 下 列 通 用 标准 被 认为 是 实时 语言 设计 的 有 用 基础 : 

。 安 全 性 

。 可 读 性 

* 灵 活性 

* 简明 性 

* 可 移植 性 

“高效 性 

无 论 设计 过 程 是 否 严格 ， 适 当 的 测试 显然 都 是 必须 的 。 为 了 帮助 测试 ， 原 型 实现 、 模 拟 
器 和 仿真 器 都 起 重要 作用 。 

本 章 最 后 关注 重要 的 人 机 界面 。 很 长 时 间 以 来 ， 人 机 界面 被 认为 是 没有 什么 科学 性 的 ， 
在 没有 它 的 时 候 ， 工 程 原理 的 系统 化 应 用 也 取得 了 显著 成 就 。 但 是 现在 的 状况 正在 改变 ， 人 
们 认识 到 界面 是 潜在 错误 的 重要 来 源 ， 通 过 目前 在 人 机 界面 方面 的 研究 和 开发 活动 ， 这 些 错 
误 能 被 大 大 地 减少 。 

在 许多 方面 ， 本 章 成 了 漫 无 边际 的 一 章 。 本 章 介绍 了 许多 问题 领域 和 工程 问题 ， 这 也 许 
超出 了 一 本 书 能 容纳 的 范围 。 通 过 概述 设计 过 程 ， 为 本 书 其 他 内 容 作 出 了 铺垫 。 下 面 关 注 语 
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言 问题 和 编程 活动 ， 读 者 将 能 够 理解 什么 是 设计 的 最 终 产品 ， 并 可 以 判断 什么 样 的 方法 学 、 
技术 和 工具 是 合适 的 。 
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练习 


2.1 下 列 因素 对 设计 方法 的 选择 的 影响 程度 有 多 大 ? 

(a) 可 能 的 实现 语言 

(b) 支持 工具 

(c) 应 用 的 可 靠 性 需求 

(d) 员工 培训 需求 

(e) 市 场 考 虑 

(f) 以 前 的 经 验 

(g) 费用 
2.2 除了 本 章 给 出 的 标准 外 ， 还 能 用 什么 因素 来 评估 编程 语言 ? 
2.3 在 设计 过 程 的 什么 阶段 要 考虑 最 终 用 户 的 观点 ? 
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2.4 软件 工程 师 应 对 有 错误 的 实时 系统 造成 的 后 果 负 责 吗 ? 
2.5 新 药 在 适当 地 检测 和 试验 完成 前 不 能 被 使 用 ， 实 时 系统 也 应 服从 类 似 的 规定 吗 ? 如 果 系 统 
太 复杂 ， 因 而 不 能 模拟 ， 那 么 应 该 构造 它 吗 ? 
2.6 Ada 语 言 是 惟一 用 于 嵌入 式 实时 系统 实现 的 语言 吗 ? 
2.7 UML 对 硬 实 时 系统 的 设计 和 分 析 的 支持 达到 什么 程度 ? 
[39] 2.8 UML 是 一 个 结构 化 的 还 是 形式 化 的 设计 记号 系统 ? 





第 3 章 小 型 编程 


3.1 Ada、Java、C 和 occam2 概 述 3.6 子 程序 
3.2 词法 约定 小 结 

3.3 整体 风格 相关 阅读 材料 
3.4 数据 类 型 练习 

3.5 控制 结构 





在 考虑 高 级 语言 的 特征 时 ， 区 分 两 组 特征 是 很 有 用 的 : 一 组 辅助 分 解 过 程 ， 另 一 组 便于 
良好 定义 部 件 的 编程 。 这 两 组 特征 被 描述 为 : 

。 支 持 大 型 编程 

。 支 持 小 型 编程 

小 型 编程 是 一 项 已 充分 理解 的 活动， 在 本 章 中 将 在 概述 Ada 95 (本 书 中 称 为 Ada)、Java 
1.2 (后 面 称 为 Java)、ANSI C 和 occam2 语 言 的 背景 里 讨论 。 第 4 章 讨 论 大 型 编程 ， 并 且 要 论述 
管理 复杂 系统 这 个 更 加 成 问题 的 议题 。 


3.1 Ada、Java、C 和 occam2 概 述 


在 一 本 关于 实时 系统 及 其 编程 语言 的 书 中 ， 不 可 能 对 在 此 领域 使 用 的 所 有 语言 给 予 详 细 
描述 。 所 以 ， 决 定 只 详细 考察 四 种 高 级 编程 语言 。Ada 是 重要 的 ， 因 为 它 在 安全 至 上 系统 中 的 
使 用 在 增加 ; Java 已 经 成 为 基于 Internet 应 用 编程 的 事实 上 的 标准 语言 。C (及 其 派生 物 C++) 
可 能 是 当前 在 用 的 最 大 众 化 的 编程 语言 ， 而 occam2 可 能 是 体现 CSP 形 式 化 体系 的 最 接近 的 通 
用 语言 。occam2 也 是 专门 为 多 计算 机 执行 设计 的 语言 ， 它 在 实时 领域 中 的 应 用 在 增加 并 有 其 
重要 性 。 然 而 ， 其 他 语言 的 专门 特征 也 会 在 适当 的 地 方 予以 研究 。 

这 里 给 出 的 概述 本 身 假设 读者 有 类 Pascal 语 言 的 知识 。 本 章 会 给 出 每 种 语言 的 足够 细节 以 
理解 书 中 稍 后 给 出 的 程序 例子 。 至 于 每 种 语言 的 全 面 描述 ， 读 者 必须 去 阅读 “相关 阅读 材料 ” 
中 针对 每 种 语言 的 专门 书籍 。 


3.2 词法 约定 


程序 编写 一 次 ， 却 要 被 阅读 多 次 ; 因此 语言 语法 的 词法 风格 应 当 更 适合 读者 ， 而 不 是 编 
写 者 。 对 可 读 性 的 一 个 简单 帮助 是 使 用 有 意义 的 名 字 。 语 言 不 应 当 限制 标识 符 的 长 度 ，Ada、 
Java、 和 C 不 这 么 做 ，occam2 也 不 这 么 做 。 名 字 的 形式 可 通过 使 用 分 隔 符 得 以 改进 。Ada、 
Java 和 C 人 允许 在 标识 符 中 有 “_”，occam2 可 包括 “.”( 这 是 一 个 不 好 的 选择 ， 因 为 “.” 在 语言 
中 经 常用 于 表示 子 成 分 ， 例 如 记录 的 域 )。 如 果 语言 不 支持 分 隔 符 ， 推 荐 混合 使 用 大 写字 母 和 
小 写字 母 的 技术 。 虽 然 Java 允 许 使 用 “_”， 却 正在 形成 混用 大 写字 母 和 小 写字 母 的 风格 。 下 
面 是 标识 符 的 例子 。 
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Example Name In Ada 
exampleNameInJava 
example name in C 
example.name.in.occam2 


不 良 词法 约定 的 经 典 例子 来 自 FORTRAN。 该 语言 允许 将 空格 字符 用 作 分 隔 符 。 结 果 ， 程 
序 中 一 个 简单 的 打字 错误 (将 “” 打 成 了 “.”) 据说 导致 美国 的 火星 探测 器 跑 不 见 了 ! 原 打 
算 的 一 行 是 : 

DO 20 I - 1, 100 
这 是 一 个 循环 构造 (I 取 值 1 到 100 ， 循 环 标号 为 20)， 却 被 编译 成 了 赋值 (赋值 运算 符 是 
“=” ): 

DO 20 I = 1.100 
名 字 中 的 空格 又 可 被 忽略 ， 就 成 了 : 

DO201 = 1.100 
FORTRAN 中 的 变量 是 不 必定 义 的 ， 以 “D” 打 头 的 标识 符 被 认为 是 实数 ， 而 1.100 是 一 个 实 
数 ! 

不 用 奇怪 ， 所 有 现代 语言 要 求 显 式 定义 变量 。 


3.3 整体 风格 


这 里 概述 的 四 种 语言 在 某 种 程度 上 都 是 块 结构 的 。Ada 中 的 块 语句 由 三 部 分 组 成 : 
1) 这 个 块 的 局 部 对 象 的 声明 (如 果 没 有 这 种 对 象 ， 该 声明 部 分 可 略 去 ) ; 
2) 语句 序列 ; 
3) 一 组 异常 处 理 程序 ( 若 为 空 这 个 部 分 也 可 略 去 )。 
这 种 块 语句 的 模式 如 下 : 
declare 
声明 部 分 
begin 
语句 序列 
exception 
异常 处 理 程序 
end; 
异常 处 理 程序 捕获 在 块 语句 中 出 现 的 错误 。 在 第 6 章 中 详细 讨论 它们 。 
Ada 块 语句 可 放置 在 程序 中 任何 可 以 写 普 通 语 句 的 地 方 。 因 此 可 以 分 级 地 使 用 它们 ， 并 支 
持 在 程序 单元 里 面 的 分 解 。 下 面 的 简单 例子 说 明 如 何 引进 一 个 新 的 整 型 变量 zemp ， 以 交换 两 
个 整 型 变量 A 和 B 的 值 。 注 意 ，Ada 中 的 注解 从 双 连 字符 开始 直到 那 一 行 的 末尾 。 


declare l 
Temp: Integer:= A; -- 给 临时 变量 赋 以 初 值 

begin 
A:= B; ~ 一 := 是 赋值 运算 符 
B:= Temp; 

end; -- 无 异常 部 分 


在 C 和 Java 中 ， 块 (或 复合 语句 ) 是 用 一 个 { 和 一 个 } 分 界 ， 有 下 面 的 结构 : 
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{ 
声明 部 分 
语句 序列 
} 
像 Ada 一 样 ，Java 在 块 结尾 可 以 有 异常 处 理 程序 ， 如 果 这 个 块 被 标记 为 “try” 块 的 话 ( 见 第 6 
章 )。 每 个 语句 自身 可 以 是 复合 语句 。 交 换 两 个 整 型 变量 值 的 代码 会 是 这 样 : 
{ 
int temp = A; /* 志明 和 初始 化 */ 
/* 注意 ， 在 C 和 Java (Floccam2) 中 ， 类 型 名 先 出 现 */ 
/* pfüfrAdawi, KU efr a Sai */ 





A = B; 
B = temp; 
} 


注意 C 和 Java 中 的 赋值 运算 符 是 “=”， 注 解 是 用 “/*” 和 “*/” 分 隔 。Java 还 允许 注解 中 
用 “/” 结 束 一 行 。 在 本 书 中 ,，“//” 用 于 Java 注 解 ， 这 样 能 易 十 同 C 区 分 。 

在 考察 该 程序 的 occam2 等 价 表示 之 前 ， 必 须 对 此 语言 给 出 几 个 介绍 性 的 评论 。Ada 和 Java 
是 可 以 写 并 发 程序 的 语言 。C 是 顺序 语言 ， 它 可 以 同 操作 系统 一 起 使 用 以 创建 并 发 进程 .相反 ， 
occam2 中 的 所 有 程序 是 并 发 的 。 在 Ada、Java 或 C 中 的 语句 序列 在 occam2 中 是 进程 序列 。 这 种 
区 别 在 比较 四 种 语言 的 并 发 模型 的 特性 的 时 候 是 一 个 基本 区 别 ( 见 第 7、8、9% 章 )， 但 它 不 影 
响 对 语言 基本 要 素 的 理解 。 

occam2 像 Ada 一 样 ， 是 一 个 完全 的 块 结构 语言 。 任 何 进程 的 前 面 都 可 以 声明 那个 进程 中 
要 使 用 的 对 象 。 为 交换 两 个 整 型 (occam2 中 的 INT ) 变量 ， 需 要 SEQ 结 构 ， 用 以 指明 跟着 它 
的 赋值 必须 顺序 执行 : 


INT temp: -- 声明 用 冒号 结束 


temp := A 
A := B 

= temp 

有 趣 的 是 注意 四 种 语言 将 动作 分 隔 的 不 同方 式 。 与 Pascal 不 同 ，Ada 使 用 分 号 作为 语句 终 
止 符 ( 所 以 在 B:= Temp; 末尾 有 一 个 分 号 )。C 和 Java 也 将 分 号 用 作 语 名 终止 符 〈 但 在 复合 
语句 之 后 没有 分 号 ， 虽 然 Java 容 许 这 样 做 ) 。occam2 完 全 不 用 分 号 ! 它 要 求 每 个 动作 (进程 ) 
在 一 个 单独 的 行 上 。 此 外 ， 缩 进 的 使 用 在 Ada、Java 和 C 中 只 是 (虽然 很 重要 ) 为 了 提高 可 读 
性 ， 在 occam2 中 却 是 语法 上 很 重要 的 东西 。 上 面 代码 中 的 三 个 赋值 必须 从 sEo 的 @ 的 那 一 列 
开始 。 


3.4 数据 类 型 


同 所 有 高 级 语言 一 样 ，Ada、Java、C 和 occam2 要 求 程序 去 处 理 一 些 对 象 ， 这 些 对 象 已 经 
将 它们 的 实际 硬件 实现 抽象 掉 。 程 序 员 不 需要 关心 他 们 的 程序 所 处 理 实体 的 表示 或 者 位 置 。 
此 外 ， 通 过 将 这 些 实体 分 成 不 同类 型 ， 编 译 程序 能 够 检查 出 不 一 致 的 使 用 ， 因 而 提高 同 使 用 
语言 相关 的 安全 性 。 

Ada 允 许 声 明 常量 、 类 型 、 变 量 、 子 程序 (过 程 和 函数 ) 和 包 。 子 程序 在 本 章 稍 后 考虑 ， 
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而 包 在 第 4 章 描 述 。 常 量 、 类 型 和 变量 的 使 用 类 似 于 Pascal， 但 它们 可 以 以 任意 次 序 出 现 ， 只 
有 对 象 是 先 声明 后 引用 。 类 似 地 ，C 和 Java 允 许 定义 常量 、 类 型 、 变 量 和 函数 。Java 还 允许 定 
义 类 和 包 一 一 也 见 第 4 章 。 同 这 些 语言 相 比 较 ，occam2 的 类 型 模型 比较 受 限制 ， 特 别 是 不 允许 
用 户 定义 的 类 型 。 








3.4.1 离散 类 型 
表 3-1 列 出 了 四 种 语言 支持 的 预定 义 离散 类 型 。 
表 3-1 离散 类 型 
Ada Java C occam2 
Integer int int INT 
short short INT16 
long long INT32 
INT64 
byte BYTE 
Boolean boolean BOOL 
Character char 


Wide Character char wchar t 


SSeS 
所 有 常用 运算 符 对 这 些 类 型 都 是 可 用 的 。 注 意 ，Java 的 char 类 型 支持 Unicode， 所 以 等 价 
于 Ada 的 Widqe_Character 或 C 的 wchar t. 
Ada、Java 和 occam2 是 强 类 型 的 ( 即 赋值 和 表达 式 必须 包含 同一 类 型 的 对 象 )， 但 支持 显 
式 类 型 转换 。C 语 言 在 类 型 上 不 安全 。 例 如 ， 整 型 值 可 以 被 赋 给 short 类 型 ， 而 不 用 显 式 的 类 
型 转换 。Java 只 在 不 丢失 信息 时 允许 转换 ， 例 如 从 integer 到 Long， 反 过 来 则 不 行 。 
Ada 和 C 都 允许 基本 整数 类 型 是 有 符号 的 或 无 符号 的 。 默认 是 有 符号 的 ， 但 可 创建 无 符号 
(RAR) 类 型 。 虽 然 语 言 并 不 要 求 ， 但 是 Ada 实 现 可 以 支持 Short_Integer 和 Long_Integer。 
除 这 些 预 定义 类 型 外 ，Ada 和 C 允 许 定义 枚 举 类 型 。 occam2 和 Java 都 不 提供 这 种 功能 ， 虽 
然 已 经 有 建议 把 它 加 到 Java 语 言 中 去 (Caims, 1999), EC, 枚 举 的 常量 必须 是 惟一 定义 的 ， 
且 实 际 上 比 整 数 常量 定义 多 一 点 ; 然而 ，Ada 模 型 (通过 允许 名 字 重 载 )， 没 有 这 样 受 限制 。 
两 种 语言 都 提供 处 理 这 些 枚 举 类 型 对 象 的 手段 ; C 是 通过 标准 的 整数 运算 ，Ada 则 是 通过 使 用 
属性 (Ada 使 用 属性 给 出 类 型 和 对 象 的 信息 )。 下 面 的 例子 说 明 这 儿 点 。 
/xC */ 
{ . 
typedef enum (xplane, yplane, zplane} dimension; 
/* typedef 为 一 个 新 类 型 引进 新 名 字 ， */ 
/* enum 指出 它 是 一 个 枚 举 类 型 ; */ 
/* dimension 是 类 型 的 新 名 字 */ 


dimension line, force; 
line = xplane; 
force = line + 1; 
/* force 现 在 的 值 是 yplane, 因为 编译 器 后 成 内 部 整 型 字面 量 */ 
/* xplane = 0, yplane = 1, zplane -2*/ 
) 


-- Ada 
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type Dimension is (Xplane, Yplane, Zplane); 
type Map is (Xplane, Yplane); 
Line, Force : Dimension; 
Grid : Map; 
begin 
Line := Xplane; 


Force := Dimension’ succ (Xplane); 
-- Force 现 在 有 值 Yplane， 这 同 实现 技术 无 关 
Grid := Yplane; -- 名 字 Yplane 无 歧义 性 ， 因 为 G6rid 是 map 类 型 的 
Grid := Line; -- 不 合法 ， 类 型 冲突 
end; 


Ada 支 持 的 另 一 功能 是 使 用 子 范围 或 子 类 型 ， 以 限制 (特定 基 类 型 的 ) 对 象 的 值 。 这 使 得 在 程 
序 中 的 对 象 和 应 用 领域 中 那个 对 象 的 合理 取 值 之 间 建 立 更 紧密 的 联系 。 

-- Ada 

subtype Surface is Dimension range Xplane ..Yplane; 

注意 ，Ada 有 正 整 数 和 自然 数 的 预定 义 类 型 。 

重要 的 是 在 Ada 和 C 中 通过 定义 一 个 类 型 是 原 有 类 型 的 新 版 本 ， 可 以 复制 所 有 的 类 型 : | 46 | 

-- 用 Ada 

type New_Int is new Integer; 

type Projection is new Dimension range Xplane . . Yplane; 

/* HC */ 

typedef int newint; 

typedef dimension projection; 

虽然 ，( 在 表达 式 中 ) Ada 类 型 及 其 子 类 型 的 对 象 可 以 混用 ， 类 型 及 其 派生 类 型 的 对 象 却 
不 能 混用 。 它 们 是 不 同 的 类 型 : 

-- Ada 

D : Dimension; 

S : Surface; 

P : Projection; 


begin 
D S; -- 合法 
S D; -- 合法 ， 但 如 果 D 有 值 "Zzplane" 就 会 发 生 运 行 时 错误 


D; -- 不 合法 ， 类 型 冲突 
Projection (D); -- 合法 ， 显 式 类 型 转换 


rd 
.. æ 
a H M N 


这 种 规定 (及 其 使 用 ) 显著 提高 了 Ada 程 序 的 安全 性 。 在 C 中 ，typedef 不 提供 这 种 级 别 的 安 
全 性 。 

Java 中 ， 新 类 型 是 通过 面向 对 象 的 编程 设施 创建 的 ， 这 一 点 在 4.4 节 讨论 。 
3.4.2 实数 

许多 实时 应 用 (例如 信号 处 理 、 仿 真 和 过 程控 制 ) 需要 除了 整数 运算 之 外 的 数值 计算 设 
施 。 这 一 般 需 要 能 够 处 理 实 数 ， 虽 然 所 需 运算 的 复杂 性 在 应 用 之 间 有 很 大 不 同 。 从 根本 上 说 ， 
在 高 级 语言 中 表示 实数 值 有 两 种 不 同方 式 : 
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1) 浮 点 

2) 标 度 整 数 

浮 点 数 是 对 实数 的 有 限 近似 ， 适 用 于 不 需要 准确 结果 的 计算 。 浮 点 数 用 三 个 值 表示 : Æ 
数 M、 指 数 E 和 基数 R。 它 的 值 的 形式 是 M x Rs。 基数 是 〈 隐 式 ) 实现 定义 的 ， 通常 取 值 为 2。 
因为 尾数 的 长 度 是 有 限制 的 ， 这 种 表示 具有 有 限 精 度 。 浮 点 数 及 其 相应 “实际 ” 值 的 差别 是 
相对 于 数 的 大 小 而 言 的 〈 说 它 有 相对 误差 )。 

标 度 整 数 的 使 用 是 为 了 准确 的 数值 计算 。 标 度 整 数 是 整数 和 标 度 的 乘积 。 通 过 适当 选择 
标 度 ， 可 以 适合 任何 值 。 当 要 求 非 整数 计算 时 ， 标 度 整 数 是 浮 点 数 的 替代 物 。 然 而 ， 在 编译 
时 标 度 必须 是 已 知 的 ， 如 果 直 到 执行 时 才 提 供 值 的 标 度 ， 就 必须 使 用 浮 点 表示 。 虽 然 标 度 整 
数 提供 准确 值 ， 可 是 并 非 数学 领域 中 的 所 有 值 都 可 以 准确 表示 。 例 如 ，1/3 就 不 能 看 作 是 有 限 
标 度 的 十 进 制 整数 。 标 度 整 数 和 它 的 “实际 ” 值 之 差 是 其 绝对 误差 。 

标 度 整 数 在 处 理 准 确 数值 和 使 用 整数 运算 方面 有 其 优点 (相对 于 浮 点 )。 浮 点 运算 或 者 需 


整数 较 难 使 用 ， 特 别 是 在 需要 对 包含 不 同 标 度 的 值 的 表达 式 求 值 的 时 候 。 

通常 ,各 种 语言 支持 单一 的 浮 点 类 型 (通常 称 为 real 型 )， 它 的 精度 依赖 于 实现 。 标 度 整 
数 的 使 用 问题 在 正常 情况 下 是 留 给 用 户 的 ( 那 就 是 说 ， 程 序 员 必 须 利 用 系统 定义 的 整数 类 型 
实现 标 度 整数 的 运算 )。 

Ada 和 C 将 术语 float 用 于 依赖 于 实现 的 “实数 ”类 型 。 然 而 ， 在 occam2 中 没有 等 价 物 ， 
这 里 必须 指定 二 进 制 的 位 数 。occam2 设 计 者 的 观点 是 : 与 对 抽象 real 类 型 的 需要 相 比 ， 更 需 
要 让 程序 员 知道 要 进行 运算 的 精度 。occam2 的 实数 类 型 是 REAL16、REAL32 和 REAL64。 C 
支持 double 和 long double, 用 于 特别 高 的 精度 。Java 提 供 float 和 double， 它 们 分 别 
支持 32 位 和 64 位 IEEE 754 浮 点 值 。 注 意 ，Java 的 浮 点 字面 量 被 自动 认为 是 双 倍 精度 的 。 所 以 ， 
它们 必须 被 显 式 地 转换 成 £1oat ， 或 者 是 跟 以 字母 f 。 例 如 : 

float bodyTemperature = (float) 98.6; 

// 或 者 

float bodyTemperature = 98.6f; 

除了 预定 义 的 Float 类 型 外 ，Ada 提 供 了 让 用 户 创建 不 同 精度 的 浮 点 数 和 定点 数 的 设施 。 
定点 数 被 实现 为 标 度 整 数 。 下 面 是 几 个 类 型 定义 的 例子 。 为 定义 浮 点 类 型 ， 需 要 一 个 下 界 一 
个 上 界 ， 和 一 个 必要 的 精度 (十进制 ): 

type New Float is digits 10 range -1.0E18.. 1.0E18 
此 类 型 的 子 类 型 可 以 限制 范围 或 精度 : 

subtype Crude Float is New Float digits 2; 

subtype Pos New Float is New Float range 0.0..1000.0; 


精度 定义 了 最 低 需求 ， 实 现 可 以 给 出 更 高 的 准确 度 。 如 果 不 能 实现 最 低 需求 ， 则 会 产生 编译 
时 出 错 消息 。 如 果 没 有 给 出 精度 ,语言 要 求实 现 选择 一 个 安全 范围 。 
Ada 的 定点 数 消除 了 必需 的 标 度 整数 运算 符 的 实现 细节 ， 它 们 是 预定 义 的 。 为 构造 定点 类 
型 需要 范围 信息 和 称 为 delta 的 绝对 误差 界 。 例 如 ， 下 面 的 类 型 定义 给 出 了 0.05 或 1/20 的 delta: 
type Scaled Int is delta 0.05 range —100.00..100.00 


为 表示 所 有 这 些 十 进 制 值 ( - 10000, — 99.95, 一 99.90…99.95，100.00) 需要 指定 的 二 进 制 
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位 数 。 这 容易 算出 来 。 离 1120 最 近 (但 要 小 于 它 ) B2132, HI22, Ab, RESA 
进 制 位 提供 小 数 部 分 。 范 围 - 100.00 ~ 100.00 包 括 在 - 128 ~ 128 里 面 ， 它 需要 8 个 二 进 制 位 
(包括 一 个 符 各 位 }。 所 以 ， 总 共 需 要 13 个 二 进 制 位 : 

sbbbbbbb.fffff 
其 中 ，s 是 符号 位 ，b 代 表 - 一 个 整数 位 ， 王 代表 一 个 小 数位 。 显 然 ， 这 个 定点 数 类 型 容易 在 16 
位 体系 结构 上 实现 。 

再 次 注意 ， 虽 然 定点 类 型 准确 地 表示 二 进 制 小 数 的 范围 ， 却 并 非 在 此 正确 范围 内 的 所 有 


十进制 常数 都 有 准确 的 表示 。 例 如 ， 十 进 制 数 5.1 在 上 面 定 义 的 定点 类 型 中 将 被 表示 为 


00000101.00011 (二 进 制 ) 或 5.09375 (十 进 制 )。 
3.4.3 结构 化 数据 类 型 


能 够 十 分 容易 地 说 出 四 种 语言 中 关于 结构 化 数据 类 型 的 规定 。occam2 和 Java 支 持 数组 ， 
Ada 和 C 支 持 数组 和 记录 。 下 例 先 说 明 数 组 : 


-~ occam2 
INT Max IS 10: -- occam2 中 的 常量 定义 
[Max]REAL32 Reading: -- Reading 是 一 个 有 10 个 元 素 的 数组 ， 
-- Reading[0] .. Reading[9] 
[Max] [Max]BOOL Switches: -- 2 维 数组 
occam2 中 的 所 有 数组 自 第 0 个 元 素 开始 。 
/* C */ 


#define MAX 10 /* 定 义 MAX% 10 */ 
typedef float reading t[MAX]; /* 序 标 是 0 - Max-1 */ 
typedef short int switches t [MAX] [MAX]; /* C 中 无 布尔 量 */ 


reading t reading; 
switches t switches; 


// Java 
static final int max = 10; // 一 个 常量 


float reading[] = new float[max]; // 序 标 是 0 ~ max-1 


boolean switches[] [] = new boolean[max] [max]; 

-- Ada 

Max: constant Integer:- 10; 

type Reading T is array (O .. Max-1) of Float; 

Size: constant Integer:- Max - 1; 

type Switches T is array (O .. Size, 0 .. Size) of Boolean; 


Reading: Reading T; 

Switches: Switches T; 
注意 ，Ada 的 数组 使 用 圆 括号 ， 而 occam2、 Java 和 C 使 用 更 传统 的 方 括号 。 还 有 ，Ada 数 组 可 
以 有 任意 的 开始 序 标 ， 而 在 C、Java 和 occam2 却 总 是 0。 注意 ， 在 Java 中 ， 数 组 经 常 是 用 对 象 
表示 的 。 为 创建 Java 中 的 对 象 ， 需 要 使 用 分 配器 ( 见 3.4.4 节 ) 。 

关于 为 什么 在 occam2 中 没有 引入 记录 ， 虽然 没有 什么 根本 的 原因 ， 但 它们 的 省 略 却 指示 
了 语言 设计 者 和 实现 者 的 优先 顺序 。 Ada 的 记录 类 型 十 分 直截了当 : 


-- Ada 
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type Day T is new Integer range 1 .. 31; 
type Month T is new Integer range 1 .. 12; 
type Year T is new Integer range 1900 .. 2050; 
type Date T is 
record 
Day: Day T:- 1; 
Month: Month T:- 1; 
Year: Year T; 
end record; 


然而 ,，C 中 struc 的 使 用 却 引 起 混乱 ， 因 为 它 引 进 了 一 个 类 型 ， 却 不 用 typedef 给 它 一 个 名 


 * (虽然 也 能 使 用 typedef， 并 且 是 推荐 的 ): 


/* C */ 
typedef short int day t; 
typedef short int month t; 
typedef int year t; 
struct date t { 
day t day; 
month t month; 
year t year; ); 
/* 因为 data t 不 是 由 typedef ality, */ 
/* 它 的 名 字 是 ‘struct date t' */ 


typedef struct ( 

day t day; 

month t month; 

year t year; ) date2 t; 
/* 这 里 可 以 使 用 类 型 名 “date2_t' 


在 这 个 C 的 例子 中 ， 这 些 域 是 派生 整数 ， 而 前 面 的 Ada 代 码 有 几 个 不 同 的 带 约束 的 新 类 型 
用 于 这 些 部 分 。Ada 例 子 还 展示 了 可 为 记录 的 某 些 域 (不 必 是 所 有 域 ) 赋予 初 值 。 两 种 语言 
是 用 点 记号 指出 单个 的 部 分 并 允许 记录 赋值 。Ada 还 支持 使 用 记录 聚集 值 进 行 完 整 记录 赋值 


(也 可 以 使 用 数组 聚集 ): 
-- Ada 
D: Data 
begin 
D.Year:- 1989; -- 点 记号 
-- 初始 化 后 D 的 值 是 1-1-1989 
D:- (3, 1, 1953); -- 完整 赋值 
D:- (Year => 1974, Day => 4, Month => 7); 
-- 使 用 指名 记号 的 完整 赋值 
end; 
而 C 只 人 允许 使 用 静态 数据 进行 完整 的 记录 初始 化 。 
/* C */ 


Struct date t D ={1, 1, 1); 


Ada 中 指名 记号 的 使 用 改善 了 可 读 性 , 并 消除 了 位 置 差错 可 能 引入 的 错误 ; 例如 写 (1, 3, 
1953) 而 不 是 (3, 1, 1953), 
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Ada 还 允许 为 记录 类 型 扩充 新 的 域 。 这 是 为 了 方便 面向 对 象 编程 ， 将 在 4.4 节 讨论 。 
Java 没 有 这 种 记录 结构 。 然 而 ， 使 用 类 可 以 取得 同样 效果 。 类 的 细节 在 4.4 节 给 出 ， 但 现 
在 考虑 下 面 的 日 期 Java 类 : 


// Java 
class Date 


{ 


int day, month, year; 
} 
Date birthday = new Date (); 
birthdate.day = 31; 


birthdate.month = 1; 
birthdate.year = 2000; 


至 于 C， 不 可 能 为 日 期 的 成 分 值 表达 范围 约束 。 还 要 注意 ， 由 于 “记录 ”是 Java 对 象 ， 必 
须 用 分 配器 创建 Date 的 对 象 。 对 象 的 初始 化 可 用 构造 器 实现 ( 见 4.2 节 )。 
3.4.4 动态 数据 类 型 和 指针 
在 许多 编程 情况 里 ， 数 据 对 象 集合 的 准确 大 小 或 组 织 情况 无 法 在 程序 执行 前 预测 。 即 使 
Ada 和 C 支 持 变 长 数组 ， 灵 活 和 动态 的 数据 结构 也 只 能 通过 使 用 引用 而 非 直 接 的 命名 实现 (如 
果 提 供 存储 分 配 设施 的 话 )。 这 就 是 Java 数 组 和 “记录 ”的 情况 。 
动态 数据 结构 的 实现 意味 着 语言 的 运行 时 支持 系统 的 可 观 开销 。 正 是 这 个 原因 ，occam2 
没有 动态 结构 。C 允 许 指向 已 声明 的 任何 对 象 的 指针 。 下 面 给 出 一 个 链表 的 例子 。 


{ 
typedef struct node { 
int value; 
struct node *next; /* 指向 内 包 结 构 的 一 个 指针 */ 
} node_t; 


int V; 
node t *Ptr; 


Ptr - malloc (sizeof (node t) ); 


Ptr-»value = V; /* -> 间接 引用 (de-reference) 该 指针 */ — 
Ptr-»next = 0; 


} 


过 程 malloc 是 一 个 动态 分 配 存 储 器 的 标准 库 过 程 。 运 算 符 sizeof 返 回 由 编译 器 分 配给 struct 
node_t 的 存储 单元 数 。 
在 Ada 中 ,使 用 访问 类 型 而 不 是 指针 (虽然 概念 是 类 似 的 )。 
type Node; -- 不 完整 声明 
type Ac is access Node; 
type Node is 
record 
Value: Integer; 
Next: Ac; 
end record; 
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V: Integer; 

Al: AC; 

begin 
Al:- new (Node); -- 构造 第 一 个 节点 
Al.Value:- V; -- 间接 引用 该 访问 变量 ， 并 指明 其 成 分 
Al.Next:= null; -- 预定 义 的 


end; 


上 面 的 程序 段 说 明了 (从 堆 上 ) 动态 分 配 存储 区 域 的 “new” 的 使 用 。 与 C 对 照 ，Ada 的 
“new” 是 在 语言 中 定义 的 运算 符 ; 然而 ， 没 有 清除 (dispose) 运算 符 ， 而 是 提供 了 一 个 通用 
过 程 为 指定 的 对 象 清除 分 配 的 存储 。 这 个 过 程 ( 称 为 Unchecked_Deallocation) 并 不 检 
查 是 否 有 对 对 象 的 未 完成 引用 。 

Ada 和 C 都 不 要 求 支持 垃圾 回收 器 。 这 种 遗漏 不 足 为 怪 ， 因 为 垃圾 回收 器 通常 带 来 执行 时 
间 中 巨大 的 、 不 可 预测 的 开销 。 这 种 开销 对 于 实时 系统 来 说 是 不 可 接受 的 〈 爷 15.9.1 节 )。 

指针 还 可 指向 静态 对 象 或 栈 上 的 对 象 。 接 下 来 的 例子 说 明 C 是 怎样 许可 静态 类 型 指针 和 怎 
样 让 程序 员 进 行 指针 运算 的 : 

{ 


typedef date t events t[MAX], *next event t; 


events t history; 
next event t next event; 


next event - &history [0]; 


/* 取 数 组 第 一 个 元 素 的 地 址 * / 
next eventtt; 
/* 增加 指针 next event; */ 
/* 在 指针 上 增加 date 记 录 的 大 小 ，*/ 
/* 所 以 next_event 指 向 数组 的 下 一 个 元 素 */ 
} 
C 方 法 的 缺点 是 指针 所 指 对 象 以 后 可 能 超出 作用 域 。 这 就 是 所 谓 悬 空 指针 问题 (dangling 
pointer problem)。Ada 用 别名 类 型 (aliased type) 为 这 种 指针 提供 了 安全 解决 办 法 。 只 有 别名 
类 型 才 可 被 引用 。 
Object : aliased Some Type; 
-~ 使 用 别名 指出 ， 它 可 能 由 访问 类 型 引用 
type General Ptr is access all Some Type; 
-- access all 指出 ， 这 个 类 型 的 访问 变量 既 可 指向 静态 对 象 ， 也 可 指向 动态 对 象 
Gp : General Ptr := Object’ Access; 
-- 将 对 象 引 用 赋 给 Gp . 
Ada 访 问 类 型 定义 的 最 后 一 种 形式 允许 给 访问 类 型 的 使 用 加 上 只 读 限 制 : 
Objectl : aliased Some Type; 
Object2 : aliased constant Some Type :- ...; 


type General Ptr is access constant Some Type; 


Gpl : General Ptr :- Objectl' Access; 
-- Gpl 现在 只 能 读 object1 的 值 
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Gp2 : General Ptr := Object2' Access; 

-- Gp2 是 一 个 对 常量 的 引用 
同 Ada 和 C 相 反 ，Java 中 的 所 有 对 象 都 是 对 包含 数据 的 实在 对 象 的 引用 ， 所 以 不 需要 额外 的 访 
问 或 指针 类 型 。 此 外 ， 不 像 Ada， 它 不 需要 Node 类 型 的 前 导 声 明 : 

// Java 

{ 


class Node 


{ 
int value; 
Node next; 


} 
Node Ref = new Node (); 
} 
注意 ， 由 于 将 对 象 表示 成 引用 值 ， 在 Java 中 比较 两 个 对 象 就 成 了 比较 它们 的 指针 ， 而 不 
是 它们 的 值 。 所 以 


Node Refl = new Node (); 
Node Ref2 = new Node (); 


if (Refl == Ref2) { ... } 
将 比较 对 象 的 位 置 ， 而 不 是 对 象 所 封装 的 值 (这 时 ， 是 域 value 和 next 的 值 )。 值 的 比较 需 
要 一 个 类 ， 它 实现 显 式 的 compareTo 方 法 。 当 然 ， 对 于 Ada 的 访问 变量 这 个 结论 也 成 立 。 然 


而 ，Ada 人 允许 访问 变量 有 一 个 .all 后 级 ， 以 指向 对 象 的 数据 ， 而 非 其 引用 。 

对 象 赋 值 也 出 现 类 似 的 情况 。 在 Java 中 ， 赋 值 运算 符 是 赋 给 指针 。 为 创建 对 象 的 真正 副 
本 需要 一 个 提供 clone (克隆 ) 对 象 方法 的 类 。 
3.4.5 文件 


Ada、Java、C 和 occam2 都 不 提供 Pascal 那 样 的 文件 类 型 构造 器 。 相 反 ， 每 个 语言 都 允许 
通过 库 来 支持 文件 。 例 如 ，Ada 要 求 所 有 编译 程序 提供 顺序 访问 文件 和 直接 访问 文件 。 


3.5 控制 结构 


虽然 在 支持 的 数据 结构 上 有 若干 差异 (尤其 在 occam2 和 其 他 语言 之 间 )， 关 于 所 要 求 的 控 
制 结构 却 有 更 接近 的 一 致 。 随 着 编程 语言 从 机 器 代码 经 过 汇编 语言 进步 到 较 高 级 的 语言 ， 控 
制 指令 也 演变 成 控制 语句 。 在 顺序 编程 语言 所 需 的 控制 抽象 方面 有 着 共同 的 一 致 

这 些 控制 抽象 可 分 为 三 个 类 别 : 顺序、 判断 和 循环 。 本 书 将 依次 研究 它们 。 语 言 并 发 部 
分 所 必需 的 控制 结构 将 在 第 7、8、9 章 研究 。 
3.5.4 顺序 结构 

语句 的 顺序 执行 是 〈 非 并 发 ) 编程 语言 的 正常 活动 。 大 多 数 语言 ， 包 括 Ada、Java 和 C 在 
内 ， 隐 含 地 要 求 顺 序 执行 ， 不 提供 专门 的 控制 结构 。 在 Ada 和 Java (UEC) 中 块 语句 的 定义 
就 意味 着 ， 在 “开始 ”({) 和 “结束 ”(} ) 之 间 有 一 个 语句 序列 。 要 求 按 这 个 顺序 执行 ， 

在 oscam2 中 ， 语 句 〈 在 oceam2 中 称 为 进程 ) 的 正常 执行 是 并 发 的 ， 这 是 十 分 合理 的 。 所 
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以 ， 有 必要 显 式 地 说 明 一 组 动作 一 定 要 遵循 给 定 的 顺序 。 这 是 通过 使 用 早先 说 明 的 SEQ 构 造 
做 到 的 。 例 如 : 
SEQ 
动作 1 
动作 2 


如 果 在 一 个 特定 环境 中 序列 是 空 的 ，Ada 要 求 显 式 地 使 用 nu11 语 句 : 
begin -- Ada 
null; 
end; 


Java 和 C 人 允许 空 的 块 : 

( /* Java/C */ 

) 
而 occam2 用 SKIP 进程 隐 含 无 动作 : 

SEQ 

SKIP -- occam2 

或 者 就 只 是 

SKIP 

空 动作 的 另 一 个 极端 是 导致 序列 不 再 进一步 做 任何 事 。Java 和 C 提 供 一 个 叫做 exit 的 专 
用 预定 义 过 程 ， 使 整个 程序 终止 。occam2 的 STOoP 进 程 有 类 似 效果 。Ada 没 有 等 价 的 原 语 ， 但 
可 编制 异常 ， 使 得 有 相同 结果 ( 见 第 6 章 ) 或 终止 主 程序 。 在 所 有 四 种 语言 中 ， 过 早 终止 程序 
的 严厉 动作 只 用 于 响应 检测 到 不 能 被 修复 的 出 错 状态 。 在 把 受 控 的 系统 带 到 安全 状态 之 后 ， 
程序 除了 终止 之 外 不 执行 进一步 的 有 用 动作 。 
3.5.2 判断 结构 


判断 结构 提供 自 程序 序列 的 某 一 点 到 那个 序列 中 一 个 稍 后 点 的 执行 路 径 的 选择 。 选 取 哪 
条 路 径 依赖 于 相关 数据 对 象 的 当前 值 。 判 断 控制 结构 的 重要 性 质 是 所 有 路 径 最 终 回 到 一 起 。 
有 了 这 种 抽象 控制 结构 ， 就 不 再 需要 使 用 goto 语 名 。goto 语 句 经 常 导 致 程序 难以 测试 、 难 
以 阅读 和 难以 维护 。Java 和 occam2 没 有 goto 语 名 。Ada 和 C 有 goto 语 句 ， 但 应 少 用 。 

判断 结构 的 最 常见 形式 是 if 语 句 。 虽 然 对 这 一 结构 的 要 求 是 明确 的 ， 诸如 Algol-60 的 较 
早期 语言 却 由 于 不 良 语 法 形式 而 引起 混乱 。 尤 其 是 嵌 套 的 if 构造 ， 不 清楚 跟着 而 来 的 else 是 
对 哪 一 个 1f 的 。 令 人 遗憾 的 是 C 依 然 蒙 受 此 类 问题 之 苦 ， 而 Ada 和 occam2 有 清楚 的 无 歧义 结 
构 。 为 了 说 明 ， 研究 一 个 简单 的 问题 : TUBB/A 10 是 否 成 立 一 -在 此 之 前 先 检查 以 确保 4 不 
等 于 零 。Ada 的 解决 方案 如 下 面 所 示 ， 虽 然 这 段 代 码 有 缺点 : 即 如 果 &=0， 布 尔 变 量 High 没 
有 被 赋值 ， 但 程序 段 含义 是 明确 的 ， 这 归 因 于 使 用 了 显 式 的 ena ities: 

if A /= 0 then 

if B/A > 10 then 


High := True; 
else 
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High := False; 
end if; 
end if; 


Ada 还 提供 了 两 种 短路 径 控制 形式 and then 和 or else， 它 们 能 使 上 面 的 代码 具有 更 简明 
C 结 构 不 需要 显 式 的 “end”: 
if (A !=0) 
if (B/A > 10) high = 1; 
else high = 0; 
然而 ， 如 果 将 if 语 句 插 起来， 结构 会 清楚 很 多 : 
if (A !=0) { 
if (B/A > 10) { 


high = 1; 
} 
else { 
‘high = 0; 


} 
} 


Java 沿 用 C 的 结构 ; 然而 ， 通 过 不 允许 使 用 歧义 性 语句 避免 了 跟随 的 else 问 题 。 
occam2 的 IF 同 其 他 三 种 语言 风格 上 不 太一 样 ， 虽 然 功 能 是 相同 的 。 在 下 面 的 大 纲 中 ， 令 
Bl. .Bn 是 布尔 表达 式 ，A1. .An 是 动作 : 
IF 
B1 
Al 
B2 
A2 


Bn 
An 


首先 ， 重 要 的 是 记 住 occam2 程 序 的 布局 是 有 语法 意义 的 。 布 尔 表达 式 在 单独 一 行 上 (A 
IF 缩 进 两 个 空格 ) ， 动 作 也 是 这 样 (再 缩 进 两 个 空格 )。 像 C 一 样 ， 不 用 “then” 记 号 。 在 这 个 
IF 构 造 的 执行 中 ， 布 尔 表达 式 B1 被 求 值 。 如 果 其 值 为 TRUE ， 则 执行 A1， 并 完成 了 此 IF 的 动 
作 。 然 而 ， 如 果 B1 为 FALSE， 则 B2 被 求 值 。 所 有 的 布尔 表达 式 被 求 值 ， 直到 发 现 一 个 为 
TRUE 的 表达 式 ， 然 后 执行 相关 联 的 动作 。 如 果 没 有 一 个 布尔 表达 式 为 TRUE， 那么 这 是 一 种 
出 错 状态 ，IF 构 造 的 行为 就 像 上 一 节 讨论 过 的 SsTOP 一 样 。 
使 用 这 种 IF 语句 形式 ， 不 需要 明显 的 ELSE 部 分 ; 布尔 表达 式 TRUE 作 为 最 后 的 检验 一 定 
会 进行 ， 如 果 所 有 其 他 选择 都 失败 的 话 。 因 此 用 occam2 描 述 b/a > 10 的 例子 ， 是 这 个 样子 : 


IF 


b/a >10 
high := TRUE 
TRUE 











high := FALSE 
TRUE -- 最 后 这 两 行 是 需要 的 ， 
SKIP -- 这 样 使 得 当 a 为 0 时 ，IF 不 会 变 成 STOP 
为 给 出 重要 的 “if” 构 造 的 另 一 个 例子 说 明 ， 研究 一 个 多 路 分 支 。 下 面 的 例子 (首先 用 
Ada) 是 求 出 一 个 正 整 数 变量 Number 的 数字 位 数 。 假 定 最 多 为 5 位 。 


if Number < 10 then 
Num Digits := 1; 
else 
if Number < 100 then 
Num Digits := 2; 


else 
if Number < 1000 then 
Num Digits := 3; 
else 


if Number < 10000 then 
Num Digits ;=4; 

else 
Num Digits :=5; 

end if; 

end if; 
end if; 
end if; 


这 种 形式 是 十 分 常见 的 ， 它 含有 else 部 分 的 由 套 ， 并 在 末尾 跟随 若干 end if。 为 消除 
这 种 笨拙 的 结构 ，Ada 提 供 了 elsiE 语 句 。 上 面 的 代码 可 写 得 更 简明 些 : 


-~ Ada 

if Number < 10 then 
Num_Digits :=1; 

elsif Number < 100 then 
Num Digits :=2; 

elsif Number < 1000 then 
Num_Digits :=3; 

elsif Number < 10000 then 
Num_Digits :=4; 

else 
Num_Digits :=5; 

end if; 


用 occam2， 代 码 十 分 清楚 : 


IF 
number < 10 
digits := 1 
number < 100 
digits := 2 
number < 1000 
digits := 3 
number < 10000 
digits := 4 
TRUE 
digits := 5 
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上 面 的 代码 是 用 一 系列 的 二 元 选择 构造 的 多 路 分 支 的 例子 。 一 般 说 来 ， 多 路 判断 可 用 case 
(或 switch) 结构 更 明确 地 表示 ， 更 高 效 地 实现 。 四 种 语言 都 有 这 种 结构 ， 虽 然 occam2 版 本 限 
制 多 一 些 。 为 了 说 明 ， 考 虑 一 个 字符 ( 字 节 ) 值 “command”， 将 它 用 于 判断 四 种 可 能 动作 : 


-- Ada 

case Command is 
when 'A' | 'a' => Actionl; --A Ka 
when ‘t' => Action2; 
when 'e' => Action3; 
when 'x' .. 'z' => Action4; -- x. yX z 
when others => null; -- 无 任何 动作 


end case; 


/* C 和 和 Java */ 


switch (command) ( 


case 'A' 

case 'a' : actionl; break; /* AK a */ 
case 't' : action2; break; 

case 'e' : action3; break; 

case 'x' 

case 'y' 

case 'z' : action4; break; /* x. y m z */ 
default : break; /* 无 任何 动作 */ 


} 


注意 ， 使 用 Java 和 C 时 ， 有 必要 插入 若干 break 语 句 ， 使 得 能 在 识别 出 所 需 命令 的 时 候 退 出 
switch 语 句 。 如 果 没 有 的 话 ， 控 制 会 继续 到 下 一 个 选择 (就 像 “A” 的 情况 )。 
在 occam2 中 ， 不 支持 末代 值 和 范围 ， 所 以 代码 更 长 : 
CASE command 
‘A 
动作 1 
动作 1 
» 
动作 2 
动作 3 
动作 4 


Y 
动作 4 

ut 
动作 4 

ELSE 
SKIP 


3.5.3 ”循环 结构 
循环 结构 使 程序 员 能 够 指明 一 个 语句 或 一 个 组 语句 被 执行 一 次 以 上 。 构 造 这 种 循环 有 两 
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种 不 同 的 形式 : 

1) 和 迭代 

2) 递归 

迭代 的 明显 特征 是 循环 的 每 次 执行 完成 之 后 下 一 次 循环 才能 开始 。 对 于 递归 控制 结构 ， 
第 一 个 循环 被 中 断 ， 以 开始 第 二 个 循环 ， 第 二 个 循环 又 可 能 中 断 ， 以 开始 第 三 个 循环 等 等 。 
在 某 个 点 上 ， 循环 4 被 允许 完成 ， 然 后 允许 循环 n -1 完成 ， 然 后 是 循环 n - 2 等 等 ， 直 到 第 一 个 
循环 终止 。 递 归 通 常 由 递归 的 过 程 调用 实现 。 这 里 的 注意 力 集 中 在 迭代 上 。 

迭代 有 两 种 形式 : 一 种 循环 是 进 代 次 数 通 常 在 此 循环 构造 执行 前 就 已 固定 ; 一 种 循环 是 
在 每 次 迭代 中 进行 完成 检验 。 前 一 种 通常 称 为 for 语 句 ， 后 者 称 为 while 语 句 。 大 多 数 语言 
的 for 构 造 还 提供 一 个 计数 器 ， 可 用 于 指出 当前 执行 的 是 哪 一 次 迹 代 。 

下 面 的 示例 性 代码 说 明 四 种 语言 的 for 构 造 ， 代 码 为 数组 A 的 前 十 个 元 素 赋 以 它们 在 数组 


中 的 位 置 的 值 : i 
-~ Ada 
for I in 0 .. 9 loop -- I 由 该 循环 定义 
A (I) := I; -- I 在 该 循环 中 是 只 读 的 
end loop; -- I 在 该 循环 后 就 出 了 作用 域 


/* C and Java */ 
for (i -0; i <= 9; i++) { /* i 必须 在 前 面 定义 */ 


A[i]- i; /* i 在 该 循环 中 可 以 读 / 写 */ 
} /* 在 该 循环 后 ，i 的 值 是 有 定义 的 */ 
-- occam2 
SEQ i = 0 FOR 10 -~ i 由 该 构造 定义 
Afi] := i -- i 在 该 循环 中 是 只 读 的 
-- ii 在 该 循环 后 就 出 了 作用 域 


-- 注意 ， 像 在 Ada 和 C 的 例子 中 一 样 ，i 的 范围 是 自 0 至 9, 


注意 ，Ada 和 occam2 对 循环 变量 的 使 用 有 限制 。Java 和 C 中 这 种 变量 的 自由 使 用 可 能 引起 
许多 错误 。 由 于 这 个 原因 ，Java 还 允许 在 foz 循 环 内 声明 局 部 变量 。 
// Java 
for (int i = 0; I <= max; I++) { 
A[i] = 1; 
} 
除了 上 述 形式 之 外 ，Ada 允 许 循环 以 相反 次 序 执行 。 
while 语 句 的 主要 变异 是 在 什么 地 方 进行 退出 循环 的 检验 。 最 常见 的 形式 包括 在 循环 入 
只 处 和 在 以 后 的 每 次 迭代 之 前 检验 : 
--Ada 
while 布尔 表达 式 loop 
语句 
end loop; 


/* Java 和 CcC*/ 
while (表达 式 ) ( 
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/* 表达 式 的 求 值 结果 为 0 就 终止 循环 */ 
语句 
} 


-- occam2 
WHILE Si RREA 

SEQ 

语句 
Java 还 支持 一 种 变 体 ， 检 验 在 循环 的 结尾 处 出 现 : 

do { 

语句 序列 
} while (EX); 


Ada、Java 和 C 还 通过 允许 在 循环 内 的 任何 一 点 退出 循环 〈 即 循环 终止 ) 来 增加 灵活 性 : 
-- Ada 
loop 


exit when < 布尔 表达 式 > 
end loop; 


/* c 和 Java */ 
while (1) ( 


if (表达 式 ) break; 


} 


常见 的 编程 错误 是 循环 要 么 (在 必须 终止 的 时 候 ) 不 终止 ， 要 么 在 错误 的 状态 终止 。 幸 
而 现 已 熟知 分 析 循 环 结构 的 形式 化 方法 。 这 些 方法 包括 定义 循环 的 前 置 条 件 和 后 置 条 件 ， 终 
止 条 件 和 循环 不 变量 。 循 环 不 变量 是 一 语句 ， 它 在 每 次 迭代 的 结尾 处 为 真 ， 而 在 迭代 期 闻 可 
能 不 为 真 。 从 本 质 上 说 ,循环 分 析 包 括 指出 前 置 条 件 将 导致 循环 终止 ， 以 及 在 终止 时 循环 不 
变量 能 证 明 后 置 条 件 被 满足 。 为 方便 这 些 形式 化 方法 的 使 用 ， 不 提倡 在 迭代 期 间 退 出 循环 。 


只 要 可 能 ， 最 好 使 用 标准 while 构 造 。 
关于 循环 要 说 的 最 后 一 点 是 实时 系统 常常 要 求 循环 不 终止 。 预 计 控 制 周 期 将 无 限 


去 ( 即 直到 切断 电源 )。 虽 然 while True 能 帮助 做 到 这 种 循环 ， 但 它 可 能 是 低 效 的 ， 而 且 没 


有 抓 住 无 限 循环 的 本 质 。 为 此 ，Ada 提 供 简单 的 循环 结构 : 
-- Ada 
loop 
语句 序列 


end loop; 
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3.6 FEF 


即使 是 在 部 件 和 模块 的 构造 工作 中 ， 通 常 也 希望 进行 进一步 的 分 解 。 这 是 通过 使 用 过 程 
和 国 数 实现 的 。 它 们 一 起 被 称 为 子 程序 。 

子 程序 不 仅 辅助 分 解 ， 还 代表 一 种 重要 形式 的 抽象 。 它 们 使 任意 复杂 的 计算 能 被 定义 成 
一 个 简单 的 标识 符 并 在 以 后 使 用 这 个 标识 符 来 调用 它 。 这 使 得 这 种 部 件 能 在 程序 内 和 程序 之 
间 被 重用 。 子 程序 的 这 种 通用 性 和 用 途 当然 通过 使 用 参数 而 提高 。 
3.6.1 参数 传递 模式 和 机 制 

参数 是 一 种 通信 形式 ， 它 是 在 子 程序 用 户 和 子 程序 本 身 之 间 传 递 的 数据 对 象 。 有 多 种 方 
式 描述 这 种 数据 传输 的 机 制 。 首 先 ， 可 以 研究 传输 参数 的 方式 。 从 调用 者 的 视点 看 ， 有 三 种 
不 同 的 传输 模式 : 

1) 传送 进 子 程序 的 数据 。 

2) 从 子 程序 传送 出 来 的 数据 。 

3) 传送 进 子 程序 的 数据 经 过 改变 ， 然 后 又 从 子 程序 传送 出 来 。 

这 三 种 模式 经 常 被 称 为 nm、out 和 in out. 

描述 传输 的 第 二 种 机 制 是 考虑 绑 定子 程序 形式 参数 和 调用 的 实际 参数 。 有 了 两 种 感 兴 趣 的 
通用 方法 : 参数 可 以 由 值 绑 定 或 是 由 引用 绑 定 。 由 值 绑 定 的 参数 只 是 将 参数 的 值 传 给 子 程序 
(经 常 是 通过 复制 到 子 程序 的 存储 空间 ) ， 这 种 参数 不 能 给 调用 者 返回 任何 信息 。 当 参数 是 由 
引用 绑 定 时 ， 在 子 程序 内 对 那个 参数 的 任何 更 新 都 被 认定 会 影响 实际 参数 的 存储 位 置 。 

研究 参数 传递 机 制 的 最 后 一 个 方式 是 考察 实现 使 用 的 方法 。 编 译 程序 必须 满足 语言 使 用 
模式 或 绑 定 表达 的 语义 但 除 此 之 外 ， 如 何 尽 可 能 高 效 地 实现 子 程序 却 是 自由 的 。 例如， 一 
个 “ 值 传送 ”的 大 数组 参数 不 需要 复制 ， 如 果子 程序 中 没有 对 数组 元 素 赋值 的 话 。 实 际 数组 
的 单个 指针 会 更 有 效 ， 但 行为 上 是 等 价 的 。 类 似 地 ， 具 有 引用 参数 的 调用 ， 可 以 用 一 个 复制 
进来 和 复制 出 去 算法 实现 。 

Ada 使 用 参数 模式 来 表达 数据 是 传送 给 子 程序 或 是 从 子 程序 传送 出 来 。 例 如 ， 考 虑 一 个 过 
程 ， 它 返回 一 个 二 次 方程 的 实 根 (如 果 它 们 存在 的 话 )。 

procedure Quadratic (A, B, C : in Float; 


R1, R2 : out Float; 
Ok * out Boolean); 


ingk (默认 的 ) 在 子 程序 内 是 局 部 常量 一 一 在 过 程 或 函数 入口 处 赋 给 形式 参数 的 值 . 
函数 只 允许 这 种 模式 。 在 过 程 内 ， 可 以 读 写 out 参 数 。 在 过 程 终止 处 赋 给 调用 参数 一 个 值 。 
“in out” 参 数 的 行为 像 是 过 程 中 的 变量 。 在 人口 处 ， 将 值 赋 给 形式 参数 ; 在 过 程 终止 时 ， 所 
获得 的 值 被 传送 回调 用 (实际 ) 参数 。 

C 按 值 传递 参数 〈C 称 参数 为 变 元 )。 如 果 结 果 是 要 返回 的 ， 必 须 使 用 指针 。C 和 Java 都 只 
支持 函数 ， 过 程 被 看 成 无 返回 值 的 函数 (在 函数 定义 中 用 void 表示 )。 

void quadratic (float A, float B, float C, 

float *R1, float *R2, int *OK) ; 

入 意 ,没有 function 这 个 关键 字 。 还 有 ， 即 使 上 面 的 A、B、C 已 经 复制 给 了 函数， 它们 

在 此 函数 里 仍然 可 被 写 。 然而， 任何 更 新 的 值 不 被 复制 回去 。 
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在 Java 中 ， 基 本 变 元 是 通过 复制 传递 的 .“ 类 ”类 型 的 变量 是 引用 变量 。 所 以 ， 当 它们 被 
作为 变 元 传递 时 ， 它 们 被 复制 ， 但 效果 是 变量 通过 引用 传递 。 如 果 不 得 由 Java 函 数 改 变 变 元 
的 值 ， 那 么 变 元 应 当 在 函数 中 被 声明 为 final。 

public class Roots { 


float R1, R2; 


} 
boolean quadratic (final float A, final float B, final float C, 


Roots R); 


福 意 在 这 个 Java 例 子 中 ， 布 尔 标 记 是 经 过 函数 返回 值 返 回 的。 还 有 ，Java 要 求 方程 的 根 被 
作为 “类 ”类 型 传送 ， 因 为 基本 类 型 (包括 float) 是 通过 复制 传送 的 并 且 没 有 指针 类 型 。 

在 occam2 中 ， 参 数 的 默认 方式 是 按 引 用 传递 ，VAL 标 志 用 于 表示 按 值 传递 。 重 要 的 是 ， 
在 过 程 里 面 (在 occam2 中 称 为 PROC )，VAL 参 数 的 行为 像 是 常量 ， 因 此 ， 在 Pascal 中 可 能 发 生 
的 遗漏 VAL 标 志 的 错误 可 由 编译 程序 捕获 。 

PROC quadratic (VAL REAL32 A, B, C, 


REAL32 R1, R2, BOOL OK) 
-- 像 C 和 Java-- 样 ， 参 数 分 隔 符 不 是 分 号 


3.6.2 ”过程 


所 有 四 种 语言 中 的 过 程 体 都 十 分 明确 ， 现在 通过 完成 上 面 所 给 的 “quadratic” 定 义 来 说 
明 。 所 有 过 程 都 假设 作用 域 中 有 一 个 sqrt 函 数 。 


-- Ada 
procedure Quadratic (A, B, C : in Float; 
Rl, R2 : out Float; 
Ok : out Boolean) is 
Z : Float; 
begin 
2:- B*B - 4.0*A*C; 
if Z < 0.0 or A = 0.0 then 


Ok:- False; 

Rl:- 0.0; -- 任意 值 

R2:= 0.0; 

return; -~ 在 到 达 逻 辑 终点 前 从 过 程 返 四 
end if; 
Ok:= True; 
Rl:= (-B + Sqrt (Z) ) / (2.0*A); 


R2:= (-B - Sqrt (2) ) / (2.0*A); 
end Quadratic; 


/* C */ 
void quadratic (float A, float B, float C, float *R1, 
float *R2, int *OK) 
{ 
float Z; 


Z- B*B - 4.0*A*C; 
if (2 < 0.0 || A == 0.0) ( 








public class Roots { 


float R1, 
) 


R2; 
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*OK = 0; 
*R1 = 0.0; /* 任意 值 */ 
*R2 = 0.0; 
return; /* 在 到 达 罗 辑 终 点 前 从 过 程 返回 */ 
} 
*OK = 1; 
*R1 = (-B + SORT (Z) ) / (2.0*A); 
*R2 = (-B - SORT (Z) ) / (2.0*A); 
) 
// Java 


boolean quadratic (final float A, final float B, final float C, Roots R) ( 


// 注意 需要 到 float 的 显 式 转换 


float Z; 


2 = (float) 


if (Z< 0 
R.R1 = 
R.R2 
return 

) 

R.R1 (f 

R.R2 = (f 


(B*B - 4.0*A*C); 


-O [| A == 0.0) { 

Of; // 任意 值 

Of; 

false; 

loat) ( (-B + Math.sqrt (2) 
loat) ( (-B - Math.sqrt (2) 


return true; 


-- occam2 


PROC quadratic (VAL REAL32 A, B, C, 
REAL32 Rl, R2, BOOL OK) 


Zi= (B*B) - (4.0* (A*C) ) -- 为 完整 指明 表达 式 ， 括 号 是 必须 的 


REAL32 Z: 
SEQ 
IF 
(8 « 0) OR (A = 0.0) 
SEQ 
OK:= FALSE 
Rl:= 0.0 
R2:= 0.0 
TRUE 
SEQ 
OK:= TRUE 


-- 任意 值 


Rl:- (-B + SQRT (Z) ) / (2.0*A) 


R2 


:= (-B - SORT (Z) 


) / (2.0*A) 


-- 冒号 是 必须 的 ， 以 指出 PROC 声 明 的 结束 


) / (2.0*A) 
) / (2.0*A) 


-- cccam2 中 没有 return 语 句 


3 


) 


? 


" 
t 
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在 所 有 四 种 语言 中 ， 调 用 这 些 过 程 都 只 要 指出 过 程 的 名 字 ， 在 括号 中 给 出 适当 类 型 的 参 
数 。 

除了 这 些 基本 特征 之 外 ， 在 Ada 中 还 有 改善 可 读 性 的 额外 设施 。 考 虑 一 个 枚 举 类 型 Setting 
和 一 个 刻画 10 个 不 同 阐 的 整数 类 型 : 

type Setting is (Open, Closed); 

type Valve is new Integer range 1 .. 10; 


下 列 的 过 程 规 格 说 明 给 出 修改 一 个 阀 值 的 子 程序 : 
Procedure Change Setting (Valve Number : Valve; 
Position : Setting ;= Closed; 
uH 
注意 ， 有 一 个 参数 给 了 默认 值 。 对 此 过 程 的 调用 可 有 几 个 不 同 的 形式 : 
Change Setting (6, Open); -- 常规 调用 
Change_Setting (3); -- 使 用 默认 值 ‘Closed' 
Change Setting (Position => Open, 
Valve Number => 9); -- 指名 记号 
Change Setting (Valve Number => 4); -- 指名 记号 和 默认 值 


默认 值 是 有 用 的 手段 ， 如 果 某 些 参数 几乎 总 是 取 同 一 个 值 的 话 。 指 名 记号 的 使 用 消除 位 置 性 
错误 并 提高 可 读 性 。 

递归 〈 和 相互 递归 ) 过 程 调用 在 Ada、Java 和 C 中 是 允许 的 。 在 occam2 中 不 支持 它们 是 由 
于 运行 时 它们 带 来 的 动态 开销 。 在 Ada 中 过 程 ( 函数 ) 可 以 嵌 套 ， 而 在 Java、C 或 occam2 中 不 
行 。 
3.6.3 函数 

Ada 支 持 函 数 的 方式 类 似 于 对 过 程 的 支持 。 考 虑 一 个 返回 两 个 整数 值 中 的 最 小 者 的 例子 ， 


-- Ada 
function Minimum (X, Y : in Integer) return Integer is 
begin 
if X » Y then 
return Y; 
else 
return X; 
end if; 
end Minimum; 


/* C 和 Java */ 
int minimum (int X, int Y) 
{ 
if (X > Y) return Y; 
else return X; 


) 


Ada、Java 和 C 人 允许 函数 返回 任何 合法 类 型 的 值 ， 包 括 结构 化 类 型 。 


函数 的 误 用 是 程序 中 许多 错误 之 源 ， 关 于 函数 的 黄金 规则 是 它们 不 应 有 副作用 。 表 达 式 
应 当 具 有 它 所 说 的 含义 : 











A := B +F (C) 
A 的 值 变 成 B 的 值 加 上 c 通 过 应 用 函数 F 后 所 得 到 的 值 。 在 上 述 代码 的 执行 中 ， 应 当 只 有 A 的 值 
被 改变 。 

人 一作 有 

1) F 在 返回 一 个 值 时 ， 还 会 改变 c 的 值 。 

2) F 会 改变 B 的 值 ， — 

3) F 会 改变 D 的 值 ， 这 里 D 是 作用 域 中 的 任何 其 他 的 变量 。 
Ada 和 Java 通 过 只 允许 函数 具有 “in” 模 式 参 数 来 限制 副作用 。 当 然 ， 因 为 这 些 参数 可 能 引用 
其 他 对 象 ， 副 作用 还 是 完全 有 可 能 的 。 然 而 ，occam2 更 进一步 ， 定 义 了 函数 的 语义 ， 所 以 不 
可 能 有 任何 副作用 。 

像 Ada 一 样 ，occam2 函 数 的 参数 是 按 值 传送 的 。 此 外 ， 函 数 体 被 定义 成 是 VALOF。VALOF 
是 计算 一 个 对 象 的 值 ( 它 将 由 函数 返回 ) 所 必需 的 语句 序列 。VALOF 的 重要 属性 是 :只 有 在 
VALOF 里 面 局 部 定义 的 那些 变量 才 可 能 被 改变 值 。 这 就 禁止 了 副作用 。 所 以 ， 前 面 定 义 的 简单 
最 小 值 函数 会 有 下 面 的 形式 : 

INT FUNCTION minimum (VAL INT X, Y) 

INT Z: ~- 2 将 是 返回 什 
VALOF 
IF 
X2Y 
Z:- Y 
TRUE 
Z:= X 
RESULT Z 


在 并 发 语言 中 ， 另 一 种 副作用 形式 是 隐藏 并 发 性 ， 这 会 有 许多 不 好 的 结果 。occam2 的 
VALOF 进 一 步 限制 在 其 中 不 允许 任何 并 发 性 。 

最 后 ， 应 当 注 意 Java 中 的 函数 (和 过 程 ) 只 能 在 类 定义 中 声明 ( 见 4.4.2 节 )。 
3.6.4 子 程序 指针 


Ada 和 C 都 允许 指向 过 程 和 函数 的 指针 。 例 如 ， 下 面 的 Ada 类 型 声明 (Error Report) 
定义 了 指向 具有 字符 串 参 数 的 过 程 的 访问 变量 。 然 后 声明 一 个 过 程 ， 它 有 这 种 类 型 的 一 个 参 
数 ， 并 且 发 出 对 这 个 过 程 的 调用 ， 调 用 时 向 operator_Warning 过 程 传送 一 个 指针 。 

type Error Report is access procedure (Reason: in String); 

procedure Operator Warning (Message: in String) is 

begin ` 

-- 通知 出 错 的 操作 员 
end Operator_Warning; 
procedure Complex_Calculation (Error_To : Error_Report; ... ) is 


begin 
-~ 如 果 在 复杂 计算 期 间 检测 到 错误 


Error_To ("Giving Up"); 
end Complex Calculation; 
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Complex Calculation (Operator Warning'Access, ...); 


如 果 用 C 语 言 ， 等 价 的 出 错 报告 指针 是 : 


void (*error report) (char* Message); 
通过 使 用 

error report = operator warning; 
可 以 得 到 函数 的 地 址 。 


Java 不 允许 函数 (过程) 指针， 因为 它们 只 能 出 现在 类 的 上 下 文中 ， 而 类 总 是 通过 引用 
访问 的 。 

3.6.5 插入 式 展开 

虽然 使 用 子 程序 显然 有 利于 分 解 、 重 用 和 可 读 性 ， 对 某 些 实时 应 用 来 说 ， 实 现实 际 调用 
的 开销 却 可 能 高 得 无 法 接受 。 降低 这 种 开销 的 一 个 手段 是 在 发 出 对 子 程序 调用 的 时 候 就 “ 播 
入 式 ” 地 替换 子 程序 代码 。 这 种 技术 被 称 为 揪 入 式 展 开 (inline expansion)， 它 的 好 处 是 依然 
允许 程序 员 使 用 子 程序 ， 又 不 引起 运行 时 的 开销 。 

有 趣 的 是 ， 形 式 化 地 规定 语义 的 occam2， 使 用 文本 替换 作为 指明 过 程 调 用 要 做 的 事情 的 
方法 。 然 而 ， 所 有 四 种 语言 都 使 实现 者 能 够 按 他 们 认为 合适 的 方式 处 理子 程序 。 对 于 这 一 点 
的 惟一 例外 看 来 是 Ada。 在 Ada 中 程序 员 可 通过 使 用 编 用 In1l1ine， 请 求 只 要 可 能 就 将 指明 的 
子 程序 进行 插入 式 展 开 。Ada 中 使 用 编 用 向 编译 程序 发 出 指令 一 一 它们 不 是 可 执行 语句 。 


小 结 


Wirth 在 他 那 本 有 重大 影响 的 著作 的 标题 中 表达 了 著名 的 格言 : 

"Algorithms +Data Structures = Programs" 

(“算法 + 数据 结构 = 程序 ”) 

也 许 ， 因 为 非常 大 的 程序 呈现 的 困难 是 显而易见 的 ， 把 这 个 格言 说 成 “算法 十 数据 结构 = 8 
”会 更 好 一 些 ， 模 块 是 由 个 人 或 密切 合作 的 小 型 软件 工程 师 组 设计 和 开发 的 部 件 程序 。 

在 本 章 中 给 出 了 Ada、Java、C 和 occam2 中 表达 算法 和 表示 数据 结构 的 必要 语言 特征 。 虽 
然 这 些 语言 有 差别 ， 它 们 却 向 程序 员 展 现 了 非常 相似 的 语义 模型 。 确 实 ， 对 于 命令 式 语言 来 
说 ,支持 小 型 编程 必需 的 原 语 已 经 被 充分 理解 了 。 

为 了 表达 算法 ， 需 要 块 结构 以 及 构造 良好 的 循环 和 判断 结构 。goto 语 句 已 经 全 面 形 失 名 
声 。 为 了 给 出 大 多 数 非 微小 模块 中 见 到 的 不 同 逻 辑 单 元 的 具体 实现 ， 也 需要 子 程序 。 过 程 语 
义 相 对 来 说 没有 争议 (虽然 存在 着 不 同 的 参数 传递 模型 )， 但 因 副 作用 问题 ， 函 数 仍然 是 难处 
理 的 。occam2 通 过 构造 一 种 不 可 能 有 副作用 的 函数 形式 做 出 了 榜样 (occam1 有 关于 副作用 的 
更 彻底 的 解决 方案 : 它 根本 没有 函数 ! )。 

在 Ada、Java、C 和 occam2 中 可 看 到 数据 结构 丰富 的 多 样 性 和 类 型 规则 ， 虽 然 occam2 的 设 
施 不 够 全 面 ，C 的 类 型 机 制 不 太 强 。 强 类 型 已 被 广泛 接受 ， 成 为 生成 可 靠 代码 必需 的 助手 。 它 
所 强加 的 限制 可 能 导致 困难 ， 但 所 提供 的 进行 显 式 类 型 转换 的 受 控 手段 消除 了 这 些 问题 。C 缺 
乏 强 类 型 成 为 在 高 完整 系统 中 使 用 该 语言 的 一 个 不 利 条件 。 

数据 类 型 本 身 可 以 按 不 同方 式 分 类 。 在 标量 和 结构 化 数据 类 型 之 间 有 明确 的 划分 。 标 量 
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类 型 又 可 被 划分 为 离散 类 型 (整数 类 型 和 枚 举 类 型 ) 和 实数 类 型 。 结 构 化 数据 类 型 可 按 三 个 
属性 分 类 : 同 质 性 、 大 小 和 访问 方法 。 一 个 结构 化 数据 类 型 被 认为 是 同 质 的 ， 如 果 它 的 所 有 
子 成 分 都 是 同一 类 型 (例如 ， 数 组 )。 如 果子 成 分 可 以 是 不 同类 型 的 〈 例 如 ， 记 录 )， 则 称 这 
种 数据 结构 是 异 质 的 。 大 小 属性 可 以 是 固定 的 或 可 变 的 。 在 某 些 语言 中 ， 记 录 可 以 像 数组 一 
样 是 定 长 的 。 诸 如 链表 、 树 或 图 之 类 的 动态 数据 结构 是 大 小 可 变 的 ， 程 序 员 通 常用 指针 (或 
引用 ) 类 型 和 存储 分 配器 构造 它们 。 最 后 ， 有 几 种 访问 方法 可 得 到 结构 的 子 成 分 。 两 种 最 重 
要 的 方法 是 直接 的 和 间接 的 。 直 接 访问 ， 如 其 名 称 的 隐 含 意思 ， 人 允许 对 子 成 分 的 直接 访问 
(例如 ， 数 组 的 元 素 或 记录 的 域 ) 。 间 接 访问 意味 着 子 成 分 的 寻 址 可 能 需要 经 由 其 他 成 分 的 一 
个 访问 链 。 大 多 数 动态 结构 只 有 间接 访问 。 

同 质 性 、 大 小 和 访问 方法 ， 这 三 种 属性 在 理论 上 能 给 出 至 少 八 种 不 同 结构 。 在 现实 中 ， 
这 些 属性 是 有 联系 的 例如， 固定 大 小 隐 含 着 直接 访问 )， 只 需要 下 列 的 类 别 : 

* 具有 任意 边界 和 维 数 的 数组 

“记录 (或 类 ) 

* 用 于 构造 间接 寻 址 的 任意 动态 数据 结构 的 指针 

任何 提供 适当 控制 结构 和 所 有 这 三 类 数据 结构 的 语言 (就 像 Ada、Java 和 C) 就 能 很 好 地 
支持 小 型 编程 。 大 型 编程 的 额外 特征 在 第 4 章 中 研究 。 

虽然 有 了 上 述 讨论 ， 实 时 语言 可 能 必须 限制 程序 员 可 用 的 设施 。 如 果 不 是 不 可 能 的 话 ， 
对 访问 动态 数据 结构 所 需 的 时 间 进行 估计 也 是 困难 的 。 此 外 ， 和 希望 在 程序 开始 执行 前 ， 能 够 
保证 程序 有 足够 存储 空间 可 用 。 正 因为 如 此 ， 动 态 数组 和 指针 可 能 需要 从 实时 应 用 的 语言 
征 的 “批准 ”清单 上 抹 去 。 此 外 ， 递 归 和 无 界 循环 也 需要 受到 限制， 
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练习 


3.1 Adalena (HEEF) 结束 每 个 构造 ，C 没 有 使 用 结束 标志 。 这 些 语言 设计 的 韵味 和 章 
法 是 什么 ? 

3.2 oceam2、Java 和 C 是 区 分 大 小 写 的 (case-sensitive ) ，Ada 不 是 。 赞成 和 反对 区 分 大 小 写 的 
论点 是 什么 ? 


3.3 occam2 在 所 有 子 表达 式 上 加 圆 括号 ， 所 以 不 需要 算 符 优先 规则 。 这 对 可 靠 性 和 效率 的 影响 
Anf? — 
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3.4 语言 应 当 总 是 需要 给 变量 赋 初 值 吗 ? 

3.5 Ada 中 exit 语 名 的 使 用 导致 可 读 和 可 靠 的 程序 吗 ? 
3.6 为 什么 occam2 中 不 允许 递归 ? 

3.7 列 出 安全 编程 的 理想 语言 特征 。 

3.8 为 什么 Java 不 支持 指针 类 型 ? 

3.9 C 在 高 完整 系统 中 能 够 使 用 到 什么 程度 ? 
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4l 信息 隐藏 4.5 可 重用 性 
4.2 分 别 编译 小 结 
43 抽象 数据 类 型 相关 阅读 材料 
44 面向 对 条 编程 练习 


第 3 章 指出 ， 在 管理 大 型 蔡 入 系统 的 复杂 特性 时 ， 分 解 和 抽象 是 两 种 最 重要 的 方法 。 这 种 
复杂 性 不 仅仅 是 因为 代码 的 数量 ， 更 重要 是 因为 与 现实 世界 相互 作用 相应 的 各 种 各 样 的 活动 
和 需求 。 正 如 在 1.3.1 节 中 指出 的 ,现实 世界 是 不 断 变 化 的 。 而 且 ， 软 件 的 设计 、 实 现 和 维护 
工作 常常 管理 得 很 差 ， 那 结果 就 是 产生 不 能 令 人 满意 的 产品 。 本 章 研 究 那 些 有 助 于 体现 和 支 
持 分 解 和 抽象 的 语言 特性 。 这 些 特性 被 称 为 是 帮助 大 型 编程 (programming in the large) 的 。 

模块 是 很 重要 的 结构 ， 但 在 诸如 Pascal 的 早期 语言 中 却 没 有 提供 。 用 一 种 非 正 式 的 说 法 ， 
模块 是 一 些 逻 辑 上 相关 的 对 象 和 操作 的 集合 。 将 系统 功能 隔离 在 模块 之 内 ， 并 对 模块 接口 提 
供 精 确 规格 说 明 的 技术 称 为 封装 。 因 此 ， 模 块 结构 可 能 支持 : 

。 信 息 隐藏 

。 分 别 编译 

。 抽象 数据 类 型 

在 下 面 的 几 节 中 我 们 将 描述 模块 结构 的 主要 促成 因素 。 本 章 用 来 作为 例子 的 代码 都 采用 
Ada、Java 和 C。Ada 和 Java 用 包 (Packages) 的 形式 明确 地 支持 模块 。C 对 模块 提供 很 弱 的 支 
持 ， 它 仅仅 通过 允许 文件 的 分 别 编译 提供 间接 的 模块 支持 。 相 比 之 下 occam2 不 支持 模块 分 解 。 

虽然 模块 允许 封装 ， 但 这 基本 上 是 静态 的 结构 机 制 ， 而 不 是 语言 类 型 模型 的 一 部 分 。 更 
动态 的 封装 机 制 以 类 和 对 象 的 形式 提供 (Java 提 供 这 种 支持 )。 


41 信息 隐藏 


在 一 些 简单 语言 里 ， 所 有 持久 变量 必须 是 全 局 的 。 如 果 两 个 或 多 个 过 程 想 要 共享 数据 ， 
那么 这 个 数据 对 程序 的 其 他 部 分 一 定 也 是 可 见 的 。 即 使 只 有 一 个 过 程 想 在 它 每 次 被 调用 时 更 
新 某 个 变量 ， 这 个 变量 也 必须 在 过 程 体外 声明 ， 因 此 这 就 存在 变量 误 用 和 出 错 的 可 能 性 。 

通过 允许 把 信息 隐藏 在 模块 “ 体 ” 内 ， 模 块 结构 支持 降低 的 可 见 性 。 所 有 模块 结构 (有 
许多 不 同 的 模型 ) 允许 程序 员 控制 对 模块 变量 的 访问 。 为 了 说 明 信 息 隐藏 ， 我 们 考虑 一 个 
FIFO 动 态 队列 的 实现 。 队 列 管理 器 〈 对 程序 其 余部 分 的 ) 接口 由 三 个 过 程 实现 : 向 队列 加 入 
元 素 ， 从 队列 删除 元 素 和 测试 队列 是 否 为 空 。 对 模块 外 部 来 说 有 关 队 列 的 内 部 信息 (例如 队 
列 指针 ) 应 该 是 不 可 见 的 。 下 面 提供 了 这 种 列表 结构 的 用 Ada 写 的 一 个 包 。 值 得 注意 的 是 : 


"Ada 包 总 是 声明 为 两 部 分 : 规格 说 明和 体 。 只 有 规格 说 明 里 声明 的 实体 对 外 部 是 可 见 
的 。 
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“Ada 使 用 “开放 作用 域 "。 包 声明 部 分 里 的 所 有 可 见 标识 符 都 可 以 在 包 内 访问 。Ada 设 有 


Modula-2、Java 的 那 种 导入 清单 。 
。 通 过 引用 包 名 和 所 需 的 标识 符 ， 例 如 Queuemod .Empty， 所 有 导出 的 Ada 标 识 符 可 以 


从 包 外 访问 。 
* 内 支持 这 个 队列 的 一 个 实例 ， 在 包 初 始 化 段 通过 调用 create 创 建 该 实例 。 


package Queuemod is 
-- 假设 类 型 Element 在 作用 域内 
function Empty return Boolean; 
procedure Insert (E : Element); 
procedure Remove (E : out Element); 


end Queuemod; 
package body Queuemod is 


type Queue Node T; -- 前 向 声明 
type Queue Node Ptr T is access Queue Node T; 


type Queue Node T is 
record 
Contents : Element; 
Next : Queue Node Ptr T; 
end record; 


type Queue T is 
record 
Front : Queue Node Ptr 7; 
Back : Queue Node Ptr T; 
end record; 


type Queue Ptr T is access Queue T; 
Q : Queue Ptr T; 


procedure Create is 

begin 
Q := new Queue T; 
Q.Front := null; -- 严格 说 ， 这 是 不 必要 的 
9.Back ;= null; -- 因为 指针 总 是 被 初始 化 为 nul1 


end Create; 


function Empty return Boolean is 
begin 

return Q.Front = null; 
end Empty; 


Procedure Insert (E : Element) is 
' New Node : Queue Node Ptr T; 
begin 

New Node := new Queue Node T; 

New Node.Contents :- E; 

New Nodeé.Next := null; 

if Empty then 

Q.Front := New Node; 





大 型 编程 


else 

Q.Back.Next := 
end if; 
Q.Back := New_Nod 


end Insert; 


procedure Remove (E : 


New_Node; 


er 


out Element) 


Old Node : Queue Node Ptr T; 


begin 
Old Node :- Q.Front; 
E :- Old Node.Contents; 
Q.Front := Q.Front.Next; 
if Q.Front = null then 

Q.Back := null; 

end if; 
-- 释放 old node, W, 4.5.14 


end Remove; 
begin 
Create; -- 创建 队列 


end Queuemod; 


包 规格 说 明和 体 必 须 放 置 在 同一 个 声明 部 分 ， 虽 然 包 规格 说 明和 体 之 间 可 以 定义 其 他 的 
实体 。 通 过 这 种 方式 ， 两 个 包 可 以 互相 调用 子 程序 而 不 需要 前 向 声明 。 
任何 包 只 要 在 作用 域内 ， 都 可 以 使 用 。 为 了 减少 过 多 的 指名 ，Ada 提 供 “use” 语 名 : 


' declare 
use Queuemod; 
begin 
if not Empty then 
Remove (E); 
end if; 
end; 


Java 的 包 设施 最 好 在 面向 对 象 的 编程 模式 的 上 下 文中 解释 ， 将 在 4.4 节 讨论 它 。 
C 语 言 没有 提供 这 么 正式 的 模块 。 相 反 ， 程 序 员 必须 利用 分 开 的 文件 ， 头 文件 (通常 以 
“了 ”为 文件 扩展 名 ) 和 体 文件 (通常 以 “.c” 为 文件 扩展 名 )。 再 次 考虑 队列 模块 ， 首 先是 头 


文件 (queuemod.h), 


/* 假设 element 在 作用 域内 */ 


int empty (); 


void insertE (element E); 


void removeE (element *E); 


这 就 定义 了 模块 的 功能 接口 。 模 块 使 用 者 简单 使 用 这 个 文件 即 可 。 模 块 体 如 下 所 示 : 


#include "queuemod.h" /* 使 模块 规格 说 明 对 模块 体 可 见 */ 


struct queue node t { 


element contents; 


Struct queue node t *next; 


is 
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struct queue t ( 
struct queue node t *front; 
struct queue node t *back; 
) *Q; /* Q 现在 指向 struct queue t */ 
void create () 
t 
Q = (struct queue t *) malloc (sizeof (struct queue t) ); 
Q->front = NULL; 
Q-»back = NULL; 
}; 


int empty () 
{ 

return (Q->front == NULL); 
} 


void insertE (element E) 


{ 


struct queue node t *new node; 


new node = (struct queue node t *) 
malloc (sizeof (struct queue node t) ); 

new_node->contents = E; 
new_node->next = NULL; 
if (empty) { 

Q->front = new_node; 
} else { 

Q->back->next = new node; 
i 
Q->back = new_node; 


} 


void removeE (element *E) 


{ 


struct queue node t *old node; 


old node = Q->front; 

*E = old node-»contents; 

Q->front = Q-»front-»next; 

if (Q->front == NULL) { 
Q->back = NULL; 

} 

free (old_node); 


) 
应 该 注意 的 是 ， 在 C 语 言 中 ,“.c” 和 “.h” 文 件 之 间 并 没有 正式 的 关系 。 实 际 上 ， 在 queu- 
emod .h 中 的 规格 说 明和 文件 queuemod .c 中 的 代码 不 需要 有 任何 关系 。 它 们 的 使 用 纯粹 是 
一 种 约定 。 相 反 ， 在 Ada 语 言 中 包 是 一 个 整体 ， 对 每 一 个 子 程序 规格 说 明 都 必须 有 一 个 对 应 的 
子 程序 体 。 如 果子 程序 规格 说 明 没有 一 个 对 应 的 子 程序 体 ， Ada 在 编译 时 会 产生 编译 错误 ， 但 
对 于 C 语 言 ， 直 到 链接 时 才能 捕获 没有 函数 体 的 错误 。 

怎么 强调 模块 构造 对 实时 程序 设计 的 重要 性 都 不 会 过 分 。 然而 ， 正 如 前 面 提 到 的 ， 模 块 并 
个 大 第 一 类 语言 实体 ， 不 能 定义 模块 类 型 不 能 创建 指向 模 关 的 指针 等 等 。 动 态 语言 Simula 的 
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倡导 者 早 就 指出 自从 20 世 纪 60 年 代 以 来 语言 中 已 经 有 类 的 概念 可 用 。 而 且 ，Smalltalk-80 已 经 [7] 
表现 出 动态 模块 结构 的 强大 生命 力 。 动 态 异 块 问题 和 面向 对 象 程序 设计 紧密 相关 ， 这 将 在 4.4 
TW. 


4.2 分 别 编译 


如 果 程 序 是 由 模块 构造 的 ， 那 么 分 别 编译 这 些 模 块 就 有 很 明显 的 优点 。 我 们 说 这 样 的 程 
序 是 在 库 的 上 下 文中 被 编译 的 。 因 此 程序 员 可 以 只 关注 当前 的 模块 ， 但 是 也 能 够 构造 整个 程 
序 (至 少 是 其 中 的 一 部 分 )， 以 使 得 他 们 的 模块 可 以 被 测试 。 一 旦 经 过 测试 ， 也 可 能 要 经 过 批 
准 ， 新 的 单元 可 以 以 预 编译 的 形式 加 入 库 中 。 如 果 整 个 程序 不 必 因 每 一 次 很 小 的 编辑 改动 而 
重新 编译 ， 那 么 将 会 节省 资源 和 支持 项 目 管理 。 

正如 上 一 市 说 过 的 ， 在 Ada (和 C) 中 ， 包 (模块) 规格 说 明和 体 可 以 用 一 种 很 直接 的 方 
式 预 编译 。 如 果 一 个 库 单元 想 访问 其 他 库 单元 ， 那 么 它 必须 使 用 with 子 句 (include) H 
确 地 指示 出 来 : 

package Dispatcher is 


-- 新 的 叮 见 对 象 


end Dispatcher; 


with Queuemod; 

package body Dispatcher is 
~~ 隐藏 的 对 象 

end Dispatcher; 

用 这 种 方式 ， 就 构建 了 库 单元 之 间 依赖 关系 的 层次 结构 。 主 程序 使 用 with 子 句 获 得 对 它 所 需 
库 单元 的 访问 。 

Ada 模 型 一 个 重要 特性 (C 也 在 一 定 程 度 上 存在 ) 是 模块 规格 说 明和 体 在 库 里 被 看 作 不 同 
的 实体 。 很 明显 在 最 终 的 程序 编译 阶段 ， 两 者 都 要 存在 (更 准确 地 说 ， 有 些 模块 规格 说 明 不 
要 求 模块 体 ， 例如， 如 果 它 们 只 是 定义 了 类 型 和 变量 )。 然 而 在 程序 开发 阶段 ， 库 可 能 只 包含 
规格 说 明 。 这 些 可 以 用 来 在 具体 的 实现 工作 之 前 检查 程序 的 逻辑 一 致 性 。 在 项 目 管理 的 背景 
下 ， 规 格 说 明 由 资深 人 员 来 做 比较 好 ， 这 是 因为 规格 说 明代 表 软 件 模块 间 的 接口 。 在 这 些 代 
码 里 的 任何 一 个 错误 都 比 包 体 里 的 错误 要 严重 ， 这 是 因为 对 规格 说 明 的 更 改 可 能 要 求 这 个 模 
块 的 所 有 用 户 进行 更 改 和 重新 编译 ， 而 对 包 体 的 更 改 仅仅 要 求 这 个 包 体重 新 编译 。 

分 别 编译 支持 自 底 向 上 的 编程 。 库 单元 是 从 其 他 单元 建立 的 ， 这 要 持续 到 最 后 程序 编码 
完成 为 止 。 在 自 顶 向 下 设计 的 上 下 文中 ， 自 底 向 上 的 编程 是 完全 可 以 接受 的 ， 特 别 是 指 根 据 
规格 说 明 (定义 ) 的 自 底 向 上 ， 而 不 是 实现 ( 体 ) 的 自 底 向 上 。 然 而 ，Ada 还 包括 了 更 进一步 | 78 | 
的 分 别 编译 特征 ， 它 更 直接 支持 自 顶 向 下 的 设计 。 在 程序 单元 里 ， 使 用 关键 字 is separate 
可 以 留 下 “存根 ”， 以 后 再 来 充实 。 例 如 下 面 的 代码 表明 了 过 程 Convert 的 实现 如 何 留待 主 
程序 定义 之 后 再 进行 : 

Procedure Main is 

type Reading is ... 
type Control Value is ... 
procedure Convert (R : Reading; Cv : out Control Value) 


is separate; 
begin 








loop 
Input (Rd); 
Convert (Rd, Cv); 
Output (Cv); 

end loop; 


end; 


稍 后 加 入 过 程 体 : 
separate (Main) 
procedure Convert (R : Reading; Cv : out Control Value) is 
-- 实际 所 需 代码 

end Convert; 

在 Ada 中 ， 分 别 编译 被 整合 进入 语言 规范 之 中 。 最 重要 的 是 : 强 类 型 规则 同样 适用 于 跨 库 
单元 和 整个 程序 被 构造 成 一 个 单元 的 情况 。 这 是 一 种 比 C 支 持 (FORTRAN、Pascal 也 有 一 些 
实现 ) 的 预 编 译 单元 链接 更 可 靠 的 机 制 。 对 后 一 种 方法 ， 全 面 类 型 检查 是 不 可 能 的 。 然 而 ，C 
确实 有 一 个 叫做 lint 的 专门 工具 ， 用 来 检查 跨 编译 单元 的 一 致 性 。 


4.3 抽象 数据 类 型 


第 3 章 指出 高 级 语言 的 主要 优点 是 程序 员 不 必 关 心 数据 本 身 在 计算 机 内 的 物理 表示 。 数 据 
类 型 的 思想 就 来 自 这 种 分 离 。 抽 象 数据 类 型 (abstract data type, ADT) 是 这 种 概念 的 进一步 
扩展 。 为 了 定义 ADT， 模 块 要 命名 一 种 新 的 类 型 并 给 出 可 以 运用 在 这 种 类 型 上 的 所 有 操作 。 
ADT 的 结构 隐藏 在 模块 里 。 注 意 ， 现 在 可 以 支持 这 种 类 型 的 一 个 以 上 的 实例 ， 因 此 在 模块 接 
口 里 需要 提供 一 个 创建 例 程 。 

对 模块 规格 说 明和 模块 体 要 分 别 编译 的 需求 使 ADT 的 设施 复杂 化 了 。 因 为 ADT 的 具体 结 
构 需 要 隐藏， 定义 它 的 合理 位 置 只 能 在 模块 体内 。 但 当 编 译 程序 编译 使 用 规格 说 明 的 代码 时 ， 
编译 程序 并 不 知道 类 型 的 大 小 。 一 个 解决 这 个 问题 的 方法 是 强迫 程序 员 使 用 间接 的 方式 。 例 
如 ， 在 C 中 ，queuemod 模 块 的 接口 变 成 如 下 的 样子 : 

typedef struct queue t *queue ptr t; 

queue ptr t create (); 

int empty (queue ptr t Q); 

void insertE (queue ptr t Q, element E); 

void removeE (queue_ptr_t Q, element *E); 

尽管 这 是 一 个 可 接受 的 方法 ,但 它 并 不 总 是 合适 的 。 由 于 这 个 原因 ，Ada 也 人 允许 在 规格 说 
明定 义 里 出 现 部 分 实现 ， 但 只 可 以 从 包 体 访问 它们 。 这 称 为 规格 说 明 的 私有 部 分 。 

为 了 比较 ， 继 续 这 个 队列 的 例子 。 队 列 的 ADT 的 Ada 定 义 如 下 : 

package Queuemod is 

type Queue is limited private; 

procedure Create (Q : in out Queue); 

function Empty (Q : Queue) return Boolean; 
procedure Insert (Q : in out Queue; E : Element); 


Procedure Remove (Q : in out Queue; E : out Element); 
private ' 
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-- 以 下 声明 在 外 部 都 是 不 可 见 的 
type Queuenode; 
type Queueptr is access Queuenode; 
type Queuenode is 
record 
Contents : Element; 
Next : Queueptr; 
end record; 
type Queue is 
record 
Front : Queueptr; 
Back : Queueptr; 
end record; 
end Queuemod; 


package body Queuemod is 
-- 基本 上 与 原 有 代码 相同 
end Queuemod; 
关键 字 1imited Private 意味 着 该 类 型 只 能 在 定义 在 这 个 包 里 的 子 程序 里 使 用 。 
此 受 限 私有 类 型 是 真正 的 抽象 数据 类 型 。 然 而 ， Ada 也 认识 到 许多 ADT 需 要 赋值 运算 符 和 相 
等 性 测试 操作 。 因 此 ， 与 其 在 需要 它们 时 定义 它们 ， 类 型 可 被 声明 为 只 是 private (私有 ) 
的 一 一 当然 不 是 说 在 所 有 情况 下 都 需要 这 样 定义 。 如 果 是 这 种 情况 ， 那 么 除了 已 定义 的 子 程 
序 ， 赋 值 和 相等 测试 例 程 对 所 有 用 户 也 是 可 用 的 。 下 面 给 出 一 个 用 Ada 编 制 的 ADT 的 常见 例 [80] 
子 。 它 提供 了 一 个 可 以 进行 复合 运算 的 包 。 注意 到 类 型 Complex 里 定义 的 子 程序 采取 了 重 
载 操作 的 形式 ， 因 此 允许 写 出 “常规 ”的 算术 表达 式 : 
Package Complex Arithmetic is 
type Complex is private; 


function "+" (x, Y ; Complex) return Complex; 
function "-" (x, Y : Complex) return Complex; 
function "*" (X, y : Complex) return Complex; 
function "/" (X, y : Complex) return Complex; 
function Comp (A, B : Float) return Complex; 


function Real Part (X: Complex) return Float; 
function Imag Part (X: Complex) return Float; 
private 
type Complex is 
record 
Real Part: Float; 
Imag Part: Float; 
end record; 
end Complex Arithmetic; 


4.4 面向 对 象 编程 


把 ADT 变 量 称 为 对 象 和 指定 编程 模式 ， 这 些 已 经 变 成 了 潮流 ， 这 也 导致 了 面向 对 象 编 各 
(OOP) 这 个 术语 的 使 用 。 然 而 ， 对 象 抽象 更 严格 的 定义 (Wegner，1987) 在 对 象 和 ADT 之 
同 划 出 了 一 个 明显 的 界限 ， 一 般 来 涪 ，ADT 缺 少 四 个 使 它们 适合 于 OOP 的 特性 ， 它 们 是 : 








1) 类 型 扩展 (继承 ) 

2) 自动 的 对 象 初始 化 (构造 器 ) 

3) 自动 的 对 象 终了 化 ( 析 构 器 ) 

4) 操作 的 运行 时 分 派 〈 多 态 性 ) 

Ada 和 Java 都 以 某 种 形式 支持 以 上 所 有 特性 。 在 前 面 的 队列 例子 里 ， 需 要 声明 一 个 队列 变 
量 ， 然 后 调用 创建 过 程 初始 化 它 。 在 OOP 中 ， 当 每 个 队列 对 象 被 声明 时 ， 这 种 初始 化 〈 使 用 


[81] 构造 器 例 程 ) 自动 执行 。 类 似 地 ， 当 一 个 对 象 超出 它 的 作用 域 时 ， 自 动 执行 析 构 器 过 程 。 


性 质 (2) 和 (3) 是 很 有 用 的 ， 但 在 对 象 抽象 里 更 有 意义 的 概念 是 可 扩展 性 。 它 使 得 我 
们 可 以 从 一 个 已 经 定义 的 类 型 扩展 出 一 个 新 类 型 。 新 类 型 继承 “ 基 ” 类 型 ， 但 可 能 包含 许多 
新 的 域 和 新 的 操作 。 一 旦 类 型 被 扩展 ， 就 需要 操作 的 运行 时 分 派 以 确保 类 型 家 族 的 特殊 实例 
可 以 调用 其 适宜 的 操作 。 

C 并 不 支持 OOP， 但 C 的 扩展 C++ 已 经 非常 流行 ， 并 成 为 一 个 ISO 标准 。 

完整 描述 面向 对 象 软件 开发 的 含义 已 超出 了 本 书 的 范围 。 然 而 ， 为 了 理解 Java 提 供 的 并 
发 和 实时 特性 ， 必 须 很 好 掌握 DOP 原理 。 
4.4.1 OOP 和 Ada 


Ada 通 过 两 种 互补 的 机 制 支持 面向 对 象 编程 : 标记 类 型 和 类 宽 类 型 ， 这 提供 了 类 型 扩展 和 
动态 多 态 性 。 子 包 和 受 控 类 型 也 是 Ada 提 供 支 持 的 重要 特性 。 

1. 标记 类 型 

在 Ada 中 ， 新 类 型 可 以 从 老 类 型 派生 而 来 ， 可 以 使 用 子 类 型 改变 类 型 的 一 些 属性 。 例 如 ， 
下 面 声明 了 一 个 新 类 型 和 子 类 型 叫做 Setting， 它 和 Integer 类 型 具有 相同 的 属性 ， 但 却 有 
一 个 受 限 的 范围 。Setting 和 Integer 是 不 同 的 ， 不 能 互 换 : 

type Setting is new Integer range 1 .. 100; 

可 以 定义 操作 类 型 Setting 的 新 操作 ， 然 而 ， 不 能 加 入 新 的 成 分 。 标 记 类 型 则 打破 这 种 
限制 ， 允 许 额外 成 分 的 加 入 。 任 何 可 能 需要 用 这 种 方式 扩展 的 类 型 都 必须 声明 为 标记 类 型 。 
因为 扩展 类 型 不 可 避免 导致 类 型 变 成 记录 ， 因 此 只 有 记录 类 型 (或 被 实现 为 记录 的 私有 类 型 ) 
才能 是 标记 类 型 。 例 如 ， 考 虑 下 面 的 类 型 和 基本 操作 : 


type Coordinates is tagged 


record 
X : Float; 
Y : Float; 


end record; 
procedure Plot (P: Coordinates); 
这 个 类 型 可 以 被 扩展 为 : 
type Three D is new Coordinates with 
record 
2 : Float; 
end record; 


procedure Plot (P: Three D); -- 对 子 程序 Plot 进 行 覆 盖 
Point : Three D := (X => 1.0, Y => 1.0, Z => 0.0); 
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所 有 用 这 种 方式 派生 的 类 型 (包括 最 初 的 根 ) 都 属于 同一 类 层次 结构 。 当 一 个 类 型 被 扩展 时 ， 
它 自动 继承 父 类 型 的 任何 基本 操作 。 

在 上 例 中 的 Three_D 类 的 域 对 该 类 的 用 户 是 直接 可 见 的 。Ada95 也 允许 用 私有 类 型 将 这 
些 属性 完全 封装 : 

package Coordinate Class is 

type Coordinates is tagged private; 


procedure Plot (P: Coordinates); 


procedure Set X (P: Coordinates; X: Float); 
function Get X (P: Coordinates) return Float; 
-- 对 Y 类 似 
private 
type Coordinates is tagged 
record 
X : Float; 
Y : Float; 
end record; 
end Coordinate Class; 


其 他 的 设施 包括 抽象 标记 类 型 和 抽象 基本 操作 的 概念 。 这 些 类 似 于 4.4.2 节 要 讨论 的 Java 
设施 。 注意 Ada 仅 支持 从 单个 父亲 继承 ， 然 而 使 用 这 个 语言 的 类 属 设施 可 以 实现 多 重 继承 。 

2. 类 宽 类 型 

标记 类 型 提供 一 种 可 以 增 量 式 扩展 类 型 的 机 制 。 其 结果 是 程序 员 可 以 创建 相关 类 型 的 层 
次 结构 。 这 样 ， 程 序 的 其 他 部 分 可 以 按照 它们 自己 的 目的 来 处 理 这 个 层次 结构 中 的 任何 成 员 ， 
而 不 需要 太 关 心 在 任何 时 刻 它 处 理 的 是 哪 一 个 成 员 。Ada 是 一 种 强 类 型 的 语言 ， 因 此 需要 一 种 
机 制 来 处 理 来 自 层次 结构 中 任何 成 员 的 对 象 可 以 被 作为 参数 传递 的 问题 。 例 如 ， 一 个 子 程序 
可 能 希望 采取 坐标 作为 参数 而 不 需要 知道 坐标 是 二 维 的 或 是 三 维 的 。 

类 宽 类 型 (class-wide type) 编程 是 一 种 使 编写 的 程序 可 以 处 理 类 型 家 族 问题 的 技术 。 与 
每 个 标记 类 型 相关 ， 有 一 个 T'Class 类 型 ， 它 由 以 Tf 开始 的 类 型 家 族 的 所 有 类 型 组 成 。 因 此 
下 面 的 子 程序 将 允许 传递 二 维 或 三 维 的 坐标 。 

procedure General Plot (P : Coordinates’ Class); 

在 类 宽 类 型 上 对 基本 操作 的 任何 调用 都 将 导致 对 实际 被 调用 类 型 的 正确 操作 ， 这 个 过 程 被 称 
为 运行 时 分 派 (run-time dispatching). 


procedure General Plot (P : Coordinates’ Class) is 
begin 

-- 整理 操作 

Plot (P); 

-- 依赖 于 P 的 实际 值 

-~ 调用 已 定义 的 一 个 Plot 过 程 


end General Plot; 


生 管 运行 时 分 派 是 一 种 强大 的 机 制 ， 但 它 也 使 实时 系统 引起 一 些 问题 。 尤 其 不 可 能 从 静态 地 
考察 代码 知道 调用 了 哪些 操作 ， 这 使 得 静态 的 时 间 分 析 困 难 ( 见 13.7 节 )。 
3. 子 包 


使 用 子 包 的 主要 动机 是 为 了 给 单一 级 别 的 包 设施 加 入 更 多 灵活 性 。 如 果 没 有 子 包 ， 对 导 
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致 包 规格 说 明 改 变 的 更 改 都 要 求 重新 编译 所 有 使 用 这 个 包 的 客户 。 这 就 不 符合 面向 对 象 编程 
的 思想 了 ， 因 为 面向 对 象 编程 要 方便 增 量 式 更 改 。 而 且 ， 如 果 没 有 增加 的 语言 特性 ， 那 么 扩 
展 私有 标记 类 型 就 是 不 可 行 的 一 一 因为 私有 类 型 里 的 数据 只 可 以 从 包 体 里 面 访问 。 
考察 前 一 节 给 出 的 下 列 例 子 : 
package Coordinate Class is 
type Coordinates is tagged private; 





procedure Plot (P: Coordinates); 


procedure Set X (P: Coordinates; X: Float); 
function Get X (P: Coordinates) return Float; 
-- Y 的 操作 与 此 类 似 

private 
type Coordinates is tagged 


record 
X : Float; 
Y : Float; 


end record; 
end Coordinate Class; 


为 了 扩展 这 个 类 并 具有 父 数据 的 可 见 性 ， 可 能 需要 改写 这 个 包 。 
子 包 允许 直接 访问 父 类 的 私有 部 分 ， 而 不 必 通 过 父 类 的 接口 。 因 此 ， 下 面 的 代码 使 新 的 
和 被 覆盖 的 基本 操作 的 实现 能 访问 原来 类 的 数据 属性 。 
package Coordinate Class.Three D is 
-- "." 指出 包 Three D 是 Coordinate Classi 
type Three D is new Coordinates with private; 
-- 新 的 基本 操作 


procedure Set Z (P: Coordinates; Z: Float); 
function Get Z (P: Coordinates) return Float; 


procedure Plot (P: Three D); -- 覆盖 子 程序 PLot 
private 


type Three D is new Coordinates with 
record 
Z : Float; 
end record; 
end Coordinate Class.Three D; 


4. 受 控 类 型 

受 控 类 型 对 面向 对 象 编程 提供 了 进一步 的 支持 。 使 用 这 种 类 型 ， 我 们 可 以 定义 当 类 型 的 
对 象 进行 下 列 操作 时 可 以 (自动 ) 调用 的 子 程序 : 

* 创建 一 一 初始 化 (initialize) ; 

“终止 存在 一 一 终了 化 (finalize) ; 

* MUÉ— 785 (adjust). 

为 了 获得 这 些 特 性 ， 类 型 必须 是 从 controlled 派 生 ， Controlled 是 一 个 在 库 包 
Ada .Finalization 里 预定 义 的 类 型 ， 这 就 是 说 ， 它 必 须 是 Controlled 类 层次 结构 的 一 部 
分 。 包 Ada.Finalization 定 义 了 过 程 Initialize、 Finalize 和 Adjust。 当 类 型 从 
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Controlledq 派 生 时 ， 这 些 过 程 可 能 被 覆盖 。 因 为 当 对 象 走出 它 的 作用 域 时 它 就 不 再 存在 ， 
退出 块 的 时 候 可 能 涉及 多 个 对 Finalize 的 调用 。 
4.4.2 OOP 和 Java 

通常 ， 至 少 有 两 种 方式 可 以 把 面向 对 象 的 设施 引信 到 语言 中 。 其 一 是 编程 语言 Oberon 
(Wirth, 1988) 所 提倡 的 类 型 扩展 机 制 。 这 种 方法 也 被 Ada 采 用 。 另 一 种 是 (也 是 更 流行 的 一 
种 ) 引入 类 的 概念 到 语言 

在 第 3 章 ， 我 们 介绍 过 一 个 简单 的 Java 类 。 


class Date 


{ 


int day, month, year; 


} 

这 个 例子 只 是 说 明 数 据 项 是 如 何 组 织 在 一 起 的 。 类 的 完整 设施 允许 封装 数据 项 (Java 称 它们 
为 实例 变量 或 域 ) ， 因 此 很 容易 产生 抽象 数据 类 型 。 

现在 要 用 Java 为 队列 抽象 建立 一 个 类 。 首 先 ， 可 以 声明 一 个 包含 队列 的 包 (如 果 没 有 已 
命名 的 包 ， 那 么 系统 会 假设 一 个 无 名 包 )。 也 可 以 导入 来 自 其 他 包 的 项 目 。 然后 ， 给 出 在 这 个 
包 里 面 声明 的 类 。 这 些 类 里 的 一 个 类 (Queue) 被 声明 为 “public”( 公 有 的 )， 这 意味 着 
它 可 以 在 包 外 被 访问 。 关 键 字 pub1lic 在 Java 里 是 一 个 修饰 符 ， 类 似 的 类 修饰 符 有 abstract 
和 final。abstract 类 是 一 个 不 能 被 实例 化 的 类 。 因此 这 种 类 必须 被 扩展 (产生 子 类 )， 并 
在 创建 对 象 之 前 必须 使 其 成 为 非 抽 象 的 。 修饰 符 final 指 示 类 不 能 有 子 类 。 无 任何 修饰 符 就 
表示 这 个 类 只 能 在 包 内 访问 。 

每 个 类 可 以 声明 局 部 实例 变量 ( 域 )、 构 造 器 方法 和 常用 (KA) 方法 。 构 造 器 方法 和 其 
相关 的 类 有 同样 的 名 字 。 当 类 的 对 象 被 创建 时 ， 就 调用 合适 的 构造 器 方法 。 对 象 的 所 有 方法 也 
都 可 以 有 相关 的 修饰 符 。 这 些 修 饰 符 指出 方法 的 访问 权限 ， 修 饰 符 有 publiec、 protected 和 
private: public 人 允许 完 全 的 访问 ， Protectead 只 允许 同一 个 包 或 该 定义 类 的 子 类 访问 ， 
Private 只 允许 该 定义 类 的 访问 。 实例 变量 也 可 以 使 用 这 些 修饰 符 。 成 员 方 法 和 实例 变量 还 
有 一 些 其 他 修饰 符 ， 这 将 在 本 书 的 其 他 部 分 介绍 。 

队列 抽象 数据 类 型 的 代码 如 下 : 

import somepackage.Element; // 引入 元 素 类 型 


package queues; // 包 名 字 


class QueueNode // 这 个 包 的 局 部 类 
{ 

Element data; 

QueueNode next; 


) 


public class Queue // 包 外 可 用 的 类 
{ 
QueueNode front, back; // 实例 变量 


public Queue () // 公有 构造 器 
{ 


front = null; 








public Element remove () // 可 见 的 方法 
{ 
if (‘empty () ) { 
Element tmpE = front.data; 
front = front.next; 
if (empty ())back = null; 
} // 垃圾 回收 器 将 释放 那些 现在 悬挂 的 QueueNode 对 象 
return tmpE; 


} 


public boolean empty () // 可 见 的 方法 
{ 
return (front == null); 
} 
} 


再 次 考察 坐标 的 例子 ， 该 抽象 类 型 的 类 结构 如 下 : 


package coordinate; 


public class Coordinate // 记 住 Java 是 区 分 大 小 写 的 
{ 

float X; 

float Y; 


public Coordinate (float initial X, float initial Y) // 构造 器 


{ 
X = initial_x; 
Y initial Y; 


M 
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back - null; 
) 
public void insert (Element E) // 可 见 的 方法 
{ 
QueueNode newNode = new QueueNode (); 
newNode.data = E; 
newNode.next = null; 
if (empty () ) { 
front - newNode; 
) else ( 
back.next - newNode; 
) 
back = newNode; 
) 


注意 , 这 里 没有 我 们 在 Ada 里 看 到 的 包 的 规格 说 明 的 概念 , 然而, 使 用 接口 可 以 提供 类 似 功能 ， 
见 4.5.2 节 。 


4.4.3 继承 和 Java 


Java 通 过 从 一 个 类 派生 另 一 个 类 支持 继承 。Java 不 支持 多 重 继承 ， 但 我 们 可 以 使 用 接口 取 
得 类 似 的 效果 ( 见 4.5.2 节 )。 
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public void set (float Fl, float F2) 


{ 
X = F1; 
Y = F2; 
H 


public float getX () 
{ 


return X; 
E 
public float getY () 
{ 


return Y; 
}; 
} 


在 派生 类 的 定义 中 使 用 extends 关 键 字 ， 并 跟 上 基 类 的 名 字 ， 这 样 可 以 扩展 生成 一 个 新 
类 。 新 类 被 放 在 同一 个 包 里 9 。 


package coordinate; 
public class ThreeDimension extends Coordinate { 
// Coordinate 的 子 类 


float Z; // 新 的 域 


public ThreeDimension (float initialx, float initialy, 
float initialz) // 构造 器 
{ 
super (initialX, initialY); // 调用 超 类 构造 器 
2 = initialZ; 
) 
public void set (float Fl, float F2, float F3) // 覆盖 的 方法 
{ 
set (Fl, F2); // 调用 超 类 的 Set 
2 = F3; 
HE 
public float getz () // 新 方法 
1 


return Z; 
yi 
" [88] 
新 类 有 了 一 些 改变 : 加 入 了 一 个 新 的 域 5 ， 定 义 了 构造 器 类 ， set 方 法 被 覆盖 并 提供 了 一 个 新 
的 操作 。 构 造 器 首先 调用 基 类 构造 器 (通过 关键 字 super )， 然后 初始 化 最 后 一 维 。 类 似 的 ， 
方法 set 也 调用 了 基 类 方法 。 


与 Ada 不 同 ，Java 的 所 有 方法 调用 都 是 潜在 分 派 (动态 绑 定 ) 的 。 例 如 ， 再 次 研究 上 面 的 
例子 : 


package coordinate; 





在 Java 中 ，public 类 必须 驻 留 在 它们 自己 的 文件 上 。 所 以 ， 包 可 以 分 布 在 一 个 或 多 个 文件 上 ， 并 可 以 不 断 增补 。 
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public class Coordinate 


{ 

float X; 
float Y; 
public Coordinate (float initial X, float initial Y) 
{ 

X = initial X; 

Y = initial Y; 
H 
publíc void set (float Fl, float F2) 
{ 

X = Fl; 

= F2; 

di 
public float getX () 
{ 

return X; 
HH 
public float getY () 
{ 

return Y; 
di 
public void plot () 
{ 
// 标 绘 - 个 二 维 点 
‘i 

}; 


这 里 加 入 了 方法 plot。 现 在 ， 如 果 方 法 plot 在 子 类 里 面 被 覆盖 : 


package coordinate; 
public class ThreeDimension extends Coordinate 
{ 
public ThreeDimension (float initialx, float initialy, 
' — float initialZ) | 
{ 
super (initialX, initialY); 
Z = initialZ; 
float Z; 


void set (float Fl, float F2, float r3) 
{ 

set (Fl, F2); 

2 = F3; 
}; 


float getz () 
{ 





g4* 





X Ud 69 


return Z; 


E 
public void plot () 
{ 
// 标 绘 一 个 三 维 点 
}; 
}; 
那么 下 面 的 代码 


{ 
Coordinate A = new Coordinate (0f, 0f); 


A.plot (); 
) 


将 会 标 绘 一 个 二 维 坐 标 ， 而 


{ 
Coordinate A = new Coordinate (0f, Of); 
ThreeDimension B = new ThreeDimension (0f, Of, Of); 
A = B; 
A.plot (); 

} 


将 会 标 绘 一 个 三 维 坐 标 ， 即 使 A 最 初 被 声明 为 Coordinate。 这 是 因为 A 和 B 都 是 引用 类 型 ， 
当 把 B 的 值 赋 给 A 时 ， 改 变 的 只 是 引用 ， 而 不 是 对 象 本 身 。 
4.4.4 对 象 类 


Java 中 所 有 的 类 都 隐 含 地 是 根 类 0bject 的 子 类 。 程 序 4-1 中 给 出 了 这 个 类 的 定义 (throw 将 在 
6.3.2 节 讨论 )。 


程序 4-1 Java 的 Object 类 


————————————————————————————— 


public class Object ( 
public final class getClass (): 


public String toString (); 
public boolean equals (Object obj); 
public int hashCode (); 


protected Object clone () 
throws CloneNotSupportedException; 


public final void wait () 
throws IllegalMonitorStateException, 
InterruptedException; 
public final void wait (long millis). 
throws IllegalMonitorStateException, 
InterruptedException; 
public final void wait (long millis, int nanos) 
throws IllegalMonitorStateException, 
InterruptedException; 
public final void notify () 
throws IllegalMonitorStateException; 
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public final void notifyAll () 
throws IllegalMonitorStateException; 


protected void finalize () 
throws Throwable; 
} 


Object 类 里 面 有 六 个 方法 是 本 书 感 兴趣 的 。 三 个 wait 和 两 个 notify 方 法 被 用 来 进行 并 发 控 
制 ， 将 在 8.8 节 讨论 。 第 六 个 方法 是 finalize， 它 在 对 象 被 销毁 前 调用 。 因 此 通过 覆盖 这 个 方法 ， 
子 类 可 以 提供 它 创 建 对 象 的 终了 化 。 当 然 ， 当 类 覆盖 finalize 方 法 时 ， 它 最 后 的 行为 应 该 调用 
它 父 类 的 finalize 方 法 。 然 而 ， 值 得 注意 的 是 只 有 将 要 进行 垃圾 回收 时 ，finalize 方 法 才 会 被 
调用 ， 这 可 能 是 在 对 象 不 再 使 用 之 后 的 某 个 时 刻 。Java 没 有 C++ 中 所 熟知 的 析 构 器 方法 。 因 此 这 种 
设施 并 不 是 用 来 回收 资源 的 ， 另 一 个 值得 推荐 的 蔡 代 方法 是 使 用 异常 处 理 设施 (8,6321). 


4.5 可 重用 性 


软件 生产 是 一 种 昂贵 的 业务 ， 每 年 软件 成 本 都 不 断 上 升 。 高 成 本 的 一 个 原因 是 软件 好 像 
总 是 从 头 开始 构建 。 相 比 之 下 ,硬件 工程 师 可 以 选择 那些 经 过 很 好 试验 和 测试 的 部 件 来 组 成 
新 的 系统 。 对 软件 工程 师 来 说 ， 用 类 似 的 方法 来 提供 软件 部 件 是 一 个 长 期 就 有 的 追求 。 令 人 
遗憾 的 是 ， 除 了 一 些 特殊 的 领域 (如 数值 分 析 )， 这 个 追求 还 远 远 没有 实现 。 然而， 可 重用 代 
码 明显 将 会 对 软件 构造 的 可 靠 性 和 生产 率 产 生 有 益 的 深远 影响 。 

诸如 模块 化 和 面向 对 象 程序 设计 这 样 的 现代 编程 语言 技术 为 可 重用 软件 库 构造 提供 了 一 
个 很 好 的 基础 。 

可 重用 性 的 一 个 障碍 是 我 们 在 第 3 章 提 及 的 强 类 型 模型 。 例 如 ， 在 这 样 的 模型 下 ， 对 整数 
的 排序 模块 不 能 用 来 对 实数 或 记录 排序 ， 即 使 基本 的 算法 是 相同 的 。 尽 管 这 种 类 型 的 限制 对 
某 些 原因 来 说 是 必要 的 ， 但 它 严 重 限 制 了 可 重用 性 。Ada 和 Java 的 设计 者 解决 了 这 个 问题 ， 提 
供 了 有 助 于 重用 却 不 必 破坏 类 型 模型 的 设施 。 在 Ada 中 ， 这 种 设施 是 基于 类 属 模块 的 概念 
《C++ 提供 一 个 类 似 的 设施 ， 可 以 定义 称 作 模板 (templates) 的 类 属 类 )。Java 使 用 了 另 一 种 方 
法 ， 即 接口 的 概念 。 下 两 小 节 将 讨论 这 些 设施 。 

4.5.1 Ada 类 属 编程 


类 属 (generic) 是 可 以 通过 实例 化 生成 实际 部 件 的 模板 。 本 质 上 ， 类 属 可 以 处 理 对 象 而 
不 必 考 虑 其 类 型 。 实 例 化 指定 实际 类 型 。 这 个 语言 模型 确保 在 类 属 里 关于 类 型 的 任何 假设 者 
会 根据 实例 化 时 的 类 型 命名 进行 检查 。 例 如 ， 一 个 类 属 可 以 假设 类 属 参数 是 离散 类 型 的 ， 当 
实例 化 时 ， 编 译 器 会 检查 指定 的 类 型 是 离散 的 。 

类 属 可 重用 性 的 测度 来 源 于 在 类 属 参数 上 施加 的 限制 。 例 如 ， 在 一 种 极端 的 情况 下 ， 假 
车 实例 化 的 类 型 必须 是 一 维 整 型 数组 ， 那 么 这 种 类 属 就 不 可 重用 了 。 相 反 ， 如 果 在 实例 化 时 
可 以 使 用 任何 一 种 类 型 ， 那 么 就 得 到 高 级 别 的 可 重用 性 。 

^da 类 属 的 参数 模型 是 很 广泛 的 ， 这 里 我 们 不 详细 讨论 它 。 我 们 会 给 出 几 个 高 度 可 重用 的 
例子 。 

定义 类 属 参 数 的 方式 是 在 类 属 体内 指定 应 用 在 它们 上 面 的 操作 。 如 果 对 于 参数 来 说 ， 没 有 
任何 应 用 在 其 上 的 操作 ， 那 么 参数 是 受 限 私有 的 (limited private)。 如 果 只 有 赋值 和 测试 相等 
操作 ， 那 么 参数 是 私有 的 private) 。 高 可 重用 的 部 件 具 有 受 限 私有 或 私有 的 参数 。 作 为 第 个 
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例子 ， 我 们 看 看 包 Queuemod。 正 如 已 经 给 出 的 ， 尽 管 给 队列 提供 了 抽象 数据 类 型 ， 但 所 有 这 
样 的 队列 只 能 拥有 Element 类 型 的 对 象 。 很 明显 , 需要 的 类 属 是 其 被 处 理 的 对 象 的 类 型 是 参数 。 
在 包 Queuemod 的 体内 ， 类 型 Element 的 对 象 仅 在 进出 队列 时 赋值 ， 因 此 这 个 参数 是 私有 的 。 


generic 
type Eelemnt is private; 
package Queuemod Template is 
type Queue is limited private; 
procedure Create (Q : in out Queue); 
function Empty (Q : Queue) return Boolean; 
procedure Insert (Q : in out Queue; E : Element); 
procedure Remove (Q : in out Queue; E : out Element); 
private 
type Queuenode; 
type Queueptr is access Queuenode; 
type Queuenode is 
record 
Contents : Element; 
Next : Queueptr; 
end record; 
type Queue is 
record 
Front : Queueptr; 
Back : Queueptr; 
end record; 
end Queuemod Template; 


package body Queuemod Template is 
-- 同 前 
end Queuemod Template; 


该 类 属 的 实例 化 将 创建 一 个 实际 的 包 : 
declare 
package Integer Queues is new Queuemod Template (Integer); 
type Processid is 
record 


end record; 
package Process Queues is new Queuemod Template (Processid); 
Q1, Q2 : Integer Queues.Queue; 
Pid : Process Queues.Queue; 
P : Processid; 
use Integer Queues; 
use Process Queues; 
hegin 
Create (01); 
Create (Pid); 


Insert (Pid, P); 


end; 
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每 个 包 都 对 队列 定义 了 一 个 抽象 数据 类 型 ， 但 是 它们 是 不 同 的 包 ， 因 为 元 素 类 型 是 不 同 的 。 

上 面 的 讨论 集中 在 把 类 型 作为 类 属 参数 。 这 里 还 存在 其 他 形式 的 类 属 参数 : 常量 、 子 程 

、 包 。 在 实时 程序 中 缓冲 区 是 一 种 重要 的 构造 。 它 们 不 同 于 队列 ， 因 为 它们 有 固定 的 大 小 。 
TOR ACER REOR A RARI OT. 也 把 元 素 类 型 作为 类 属 参数 。 另外 ， 缓 冲 
区 大 小 是 一 个 类 属 常量 参数 ， 它 的 默认 大 小 是 32: 


generic 
Size : Natural := 32; 
type Element is private; 
package Buffer Template is 
type Buffer is limited private; 
procedure Create (B : in out Buffer); 
function Empty (B : Buffer) return Boolean; 
procedure Place (B : in out Buffer; E : Element); 
procedure Take (B : in out Buffer; E : out Element); 
private 
subtype Buffer Range is Natural range 0..Size-1; 
type Buff is array (Buffer Range) of Element; 
type Buffer is 


record 
Bf : Buff; 
Top : Buffer Range :- 0; 
Base : Buffer Range := 0; 


end record; 
end Buffer Template; 


可 以 通过 以 下 实例 化 得 到 一 个 大 小 为 32 的 整数 缓冲 区 : 
package Integer Buffers is new Buffer_Template (Integer); 


一 个 大 小 为 64 的 记录 类 型 Rec 的 缓冲 区 可 以 用 类 似 的 方法 构造 如 下 : 


package Rec Buffers is new Buffer Template (64, Rec); 


像 子 程序 的 参数 一 样 ， 使 用 名 字 关 联 更 具 可 读 性 : 


Package Rec_Buffers is new Buffer_Template (Size => 64, 
Element => Rec); 


下 面 给 出 一 个 使 用 子 程序 作 参 数 的 类 属 例子 。 类 属 包 定义 了 两 个 作用 在 Element 数 组 上 
的 过 程 。 一 个 是 寻找 最 大 的 Blement， 另 “ 个 是 对 数组 排序。 为 了 实现 这 两 个 过 程 ， 比 较 两 
个 Element 的 大 小 是 一 个 必要 的 操作 。 对 数值 类 型 , “>” 是 可 用 的 操作 符 ， 但 对 -- 一 般 的 私有 
类 型 则 不 可 用 。 这 样 就 必须 引入 一 个 “>” 函 数 。 

generic 

Size : Natural; 
type Element is private; 

with function ">" (El, E2 : Element) return Boolean: 

package Array_Sort is 
type Vector is array (1 .. Size) of Element; 
Procedure Sort (V: in out Vector); 


function Largest (V: vector) return Element; 
end Array Sort; 


这 个 类 属 的 实现 留 给 读者 作为 练习 (练习 4.8)。 
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如 果 把 包 (这些 包 本 身 是 类 属实 例 化 得 到 的 ) 作为 类 属 参数 ， 那 么 可 以 创建 更 复杂 的 类 


属 包 。 
4.5.2 


Java 中 的 接口 使 得 类 提高 了 代码 可 重用 性 。 接 口 是 类 的 一 种 特殊 形式 ， 它 是 由 一 系列 方 
法 和 常量 组 成 的 规格 说 明 。 接 口 是 抽 象 的 ， 因 此 不 能 实例 化 。 相 反 ， 一 个 或 多 个 类 可 以 实现 
接口 ， 并 且 通 过 杷 参数 定义 为 某 个 接口 类 型 的 ， 实 现 接口 的 对 象 可 以 作为 变 元 传递 给 方法 。 





然而 这 里 我 们 并 不 介绍 ， 因 为 后 面 的 章节 不 需要 它们 。 
Java 中 的 接口 


实际 上 ， 接 上 所 做 的 事 就 是 能 够 在 类 层次 结构 之 外 建立 起 类 之 间 的 关系 。 


若 虑 对 对 象 数组 排序 的 “类 属 的 ”算法 。 所 有 可 排序 对 象 的 共同 点 是 它们 支持 “< ”或 


> ”操作 符 。 因 此 这 个 特性 可 以 封装 在 接口 里 。 


Ordered 接 口 定 义 了 一 个 方法 1essThan ， 这 个 方法 将 实现 Oordered 的 类 的 对 象 作 为 变 
元 。 任 何 实现 接 HHOrdered 的 类 都 必须 将 它 的 对 象 和 作为 参数 传 进来 的 对 象 比较 ， 并 返回 它 


是 否 小 于 这 个 对 象 9。 


package interfaceExamples; 


public interface Ordered { 


}; 


boolean lessThan (Ordered 0}; 


复数 类 就 是 这 样 的 一 个 类 。 


import interfaceExamples.*; 


class ComplexNumber implements Ordered 


{ 


// 这 个 类 实现 Ordered 接 口 


protected float realPart; 
protected float imagPart; 


public boolean lessThan (Ordered 0) // 接口 实现 
{ 


ComplexNumber CN = (ComplexNumber) O; // 把 参数 进行 类 卉 转换 


if ((realPart*realPart + imagPart*imagPart) « 


(CN.getReal () *CN.getReal () + CN.getImag () *CN.getImag () ) ) 


{ 


return true; 


} 


return false; 


HH 


public ComplexNumber (float I, float J) // 构造 器 
{ 
realPart = I; 
imagPart = J; 
}; 
public float getReal () 
{ 


return realPart; 


HE 





e 


将 这 “点 同 Ada 风 格 进行 比较 : 两 个 对 象 的 比较 是 由 -一 个 次数 执行 的 ， 


它 取 两 个 对 象 作为 参数 。 
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public float getImag () 
{ 
return imagPart; 


3 
} 


现在 能 够 写 出 一 个 算法 ， 它 将 这 个 类 和 其 他 实现 这 个 接口 的 类 排序 。 例 如 ， 在 4.5.1 节 中 ， 对 
Array_Sort 给 出 了 一 个 Ada 类 属 包 ， 等 价 的 Java 包 如 下 : 
package interfaceExamples; 


public class ArraySort 
{ 
public static void sort (Ordered oa[], int size) // 方法 sort 
{ 
Ordered tmp; 
int pos; 


for (int i = 0; i < size - 1; i++) { 
pos = i; 
for (int j = i + 1; j < size; j++) { 
if (oa[j].lessThan (oa[pos]) ) { 
pos = j; 
H 
) 
tmp = oa[pos]; 
oa[pos] = oa[i]; 
oa[i] = tmp; 
yi 
HE 


public static Ordered largest (Ordered oa[], int size) // 方 法 largest 
{ 
Ordered tmp; 
int pos; 
pos = 0; 
for (int i = 1; i « size; i++) ( 
if (loa[i].lessThan (oa[pos]) ) ( 
pos = i; 
}; 
}; 
return oa[pos]; 
}; 
} 


sort 方 法 有 两 个 变 元 ， 第 一 个 是 实现 0rdered 接 口 的 对 象 数组 ， 第 二 个 是 在 这 个 数组 里 元 
素 的 个 数 。 该 实现 执行 了 一 个 交换 排序 。 这 个 例子 的 重要 之 处 在 于 当 交 换 两 个 对 象 时 ， 交 换 
的 只 是 引用 的 值 ， 因 此 ， 对 象 的 类 型 是 没有 关系 的 (只 要 支持 ordered 接 口 )。 

为 了 使 用 上 述 类 和 接口 ， 需 要 下 面 的 : 

{ 


_ ArraySort AR = new ArraySort (); 
ComplexNumber arrayComplex{] = ( // 例如 ， 有 这 些 元 素 
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new ComplexNumber (6f, 1f), 
new ComplexNumber (1f, lf), 
new ComplexNumber (3f, lf), 
new ComplexNumber (1f, Of), 
new ComplexNumber (7f, 1f), 
new ComplexNumber (1f, 8f), 
new ComplexNumber (10f, 1f), 
new ComplexNumber (1f, 7f) 
ur 
// 数组 未 排序 
AR.sort (arrayComplex, 8); 
// Baum 

} 

XX b. 包 java.lang 已 经 定义 了 一 个 名 为 Comparab1le 的 接口 ， 它 有 一 个 方法 
compareTo， 可 以 用 来 取代 以 上 的 0rdered 接 口 。 而 且 ， 包 java.util.Arrays 有 一 个 名 
字 为 sort 的 静态 方法 实现 了 对 象 的 合并 排序 。 

接口 还 有 三 个 应 该 注意 的 特性 。 首 先 ， 像 类 一 样 ， 接 口 可 以 参与 同 其 他 接口 的 单 继承 的 
关系 。 第 二 ， 一 个 类 可 以 实现 多 个 接口 ， 因 而 通过 这 个 特性 可 以 取得 多 重 继 承 的 效果 。 第 三 ， 
接口 也 提供 了 能 够 实现 回调 (call back) 的 机 制 。 回 调 是 指 服务 器 调用 定义 在 调用 者 的 类 里 面 
的 方法 。 


小 结 


在 编程 语言 的 演化 中 ， 模 块 是 已 出 现 的 最 重要 的 结构 之 _-。 这 个 结构 使 大 型 实时 系统 国 
有 的 复杂 性 得 以 控制 和 管理 。 特别 是 ， 它 支持 : 

1) 信息 隐藏 

2) 分 别 编译 

3) 抽象 数据 类 型 

Ada 和 C 都 鹏 态 模块 结构 。Ada 使 用 开放 作用 域 ， 因 此 在 模块 声明 作用 域内 的 所 有 对 象 
对 模块 内 部 来 说 都 是 可 见 的 。C 只 是 非 正式 地 支持 模块 ， 而 Java 以 类 的 形式 支持 动态 模块 疆 
fas Ade (和 Java) 的 得 以 用 Javs 的 类 有 定义 良好 的 规格 说 明 ， 用 来 作为 模 活 和 程序 其 他 部 

Již H. 

分 别 编译 使 对 编译 部 件 库 能 够 得 以 构造 。 它 鼓励 重用 ， 为 软件 设计 提供 个 仓库. 但 
是 ， 这 种 仓库 必须 服从 合适 的 项 目 管理， 使 得 庄 加 版 本 控制 这 样 的 问题 不 会 成 为 不 可 和 性 

大 型 编程 的 本 质 是 将 大 型 程序 分 解 成 模块 或 者 类 。 但 是 ， 重 要 的 是 分 解 过 程 应 该 产生 结 
构 良 好 的 模块 。 

抽象 数据 类 型 (ADT) 或 面向 对 象 编程 是 程序 员 管理 大 型 软件 系统 的 主要 工具 _ E 
是 Ada 和 Java 中 的 模块 构造 ， 使 得 能 够 建立 和 使 用 ADT. 

对 于 强 类 型 语言 来 说 ， 由 于 其 行为 和 参数 、 子 部 件 的 类 型 紧 紧 绑 在 _ 起 ， 所 以 其 模块 不 
易 被 重用 。 这 种 依赖 性 经 党 是 比 需要 的 多 。Ada 和 C++ 提 供 的 关 属 单元 是 一 种 提高 软件 可 重用 
性 的 尝试 。 类 属 包 和 类 属 过 程 被 作为 模板 ， 实 际 的 代码 来 自 模板 的 实例 化 。Java 通 过 接口 到 
得 同样 的 效果 。 这 些 设施 的 合理 使 用 应 该 使 实时 程序 降低 成 本 ， 同 时 也 提高 其 可 和 性， 
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练习 


4.1 为 什么 过 程 不 足以 作为 程序 模块 ? 

4.2 区 分 分 别 编译 、 独 立 编译 和 多 道 程序 设计 这 三 个 概念 。 

4.3 评价 C 语 言 的 模块 化 编程 方法 。 l 

4.4 把 Ada 包 作为 第 一 类 语言 对 象 有 什么 优 缺 点 ? 

4.5 比较 和 对 照 Ada 和 C 把 函数 作为 参数 传递 给 其 他 函数 的 机 制 。 
4.6 比较 和 对 照 Ada 和 Java 的 OOP 设 施 。 

4.7 为 时 间 定 义 一 个 抽象 数据 类 型 。 在 时 间 值 上 会 有 什么 操作 ? 
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4.8 实现 在 4.5.1 节 中 给 出 的 Ada 类 属 包 。 说 明 如 何 使 用 它 来 对 任 一 个 缓冲 区 数组 排序 (假设 如 


果 一 个 缓冲 区 相对 另 一 个 缓冲 区 有 较 多 的 元 素 ， 那 么 它 “ 大 于 ” 另 一 个 )。 
4.9 OOP 克 许 运行 时 的 操作 分 派 。 那 么 实时 编程 语言 是 否 应 该 只 允许 静态 绑 定 ? 
4.10 在 Java 中 ， 所 有 的 对 象 都 是 动态 分 配 的 。 讨论 垃圾 回收 对 实时 编程 语言 的 含义 。 
4.11 Ada95 和 Java 在 多 大 程度 上 支持 多 重 继承 ? 
4.12 Ada95 支 持 子 包 的 概念 。 讨 论 子 包 在 Ada 支 持 OOP 中 所 起 的 作用 。 
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5.6 软件 容错 的 恢复 块 方法 练习 


5.7 AN 版 本 程序 设计 和 恢复 块 的 比较 


对 实时 和 和 伐 人 式 系 统 来 说 ， 可 靠 性 和 安全 要 求 通常 要 比 对 其 他 计算 机 系统 更 严格 。 例 如 ， 
如 果 用 于 科学 问题 求解 的 应 用 程序 失败 ， 那 么 中 止 该 程序 是 合理 的 ， 因 为 只 是 损失 了 计算 机 
时 间 。 然 而 ， 对 于 嵌入 式 系统 来 说 ， 中 止 程序 也 许 是 不 能 接受 的 动作 。 例 如 ， 负 责 大 煤气 炉 
操作 的 过 程控 制 计算 机 ， 在 出 现 故障 时 不 能 把 炉子 关 掉 去 检修 计算 机 。 相 反 ， 它 必须 试 着 提 
供 一 种 次 一 级 的 服务 并 且 避 免 停 工 的 损失 。 更 重要 的 是 ， 如 果实 时 计算 机 系统 放弃 对 它们 的 
应 用 的 控制 ， 可 能 会 危及 到 人 的 生命 安全 。 控 制 核反应 堆 的 嵌入 式 计算 机 一 定 不 能 让 反应 堆 
失控 ， 否 则 一 旦 反应 堆 失控 就 可 能 导致 堆 芯 熔化 和 辐射 泄漏 。 航 空 电子 系统 至 少 应 该 允许 轰 
驶 员 在 飞机 坠毁 前 弹射 出 来 。 

现在 ， 越 来 越 多 以 前 由 操作 员 或 已 被 证 明 的 模拟 方法 执行 的 控制 功能 ， 正 被 数字 计算 机 
管理 。 在 1955 年 ,， 仅 有 10% 的 美国 武器 系统 需要 计算 机 软件 ， 到 20 世 纪 80 年 代 初 ， 这 个 数字 
已 经 上 升 到 80% (Leveson，1986)。 由 于 软件 中 的 差错 导致 任务 失败 的 例子 很 多 。20 世 纪 70 
年 代 初 ， 一 颗 控制 高 空气 象 气 球 的 法 国 气象 卫星 ， 由 于 软件 出 错 ， 发 出 了 “紧急 自爆 ”指令 
而 不 是 “ 读 和 数据” 指令， 结果 141 个 气球 中 的 72 个 被 毁 (Leveson，1986)。 许 多 类 似 的 惊人 
例子 被 记录 在 案 ， 可 以 设想 还 有 更 多 的 没有 被 记录 。1986 年 ， 文 献 Hecht and Hecht (1986b) 
研究 了 大 型 软件 系统 并 得 出 结论 ， 一 般 每 百 万 行 代 码 中 会 有 20 000 个 bug; 通常 90% 在 测试 时 
被 发 现 ， 其 余 的 错误 ， 有 200 个 将 会 在 操作 的 第 一 年 出 现 ， 而 剩 下 1 800 个 bug 未 被 发 现 。 例 行 
维护 通常 会 在 修复 200 个 bug 的 同时 产生 200 个 新 错 ! 

人 类 将 越 多 的 重要 功能 的 控制 交 给 计算 机 系统 ， 就 越 应 该 保证 那些 系统 不 能 失效 。 一 般 
i, ASP SBR AR AGERE. 

1) 不 充分 的 规格 说 明 。 绝 大 多 数 的 软件 故障 都 是 由 不 充分 的 规格 说 明 产生 的 (Leveson， 
1986). 

2) 软件 部 件 中 由 设计 错误 引入 的 故障 。 

3) 由 风 入 式 系统 的 一 个 或 多 个 的 处 理 器 部 件 失 效 引 入 的 故障 。 

4) 由 通信 子 系统 中 出 现 的 瞬时 或 持续 的 干扰 引入 的 故障 。 

最 后 的 三 种 故障 影响 到 了 用 来 实现 嵌入 式 系统 的 程序 设计 语言 。 由 设计 差错 产生 的 错误 ， 
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其 后 果 一 般 来 说 是 不 可 预计 的 ， 而 那些 由 处 理 器 和 网 络 引发 的 故障 在 某 种 程度 上 是 可 以 预知 
的 。 因 此 对 任何 实时 程序 设计 语言 的 主要 要 求 之 一 就 是 它 必 须 便于 构造 高 可 靠 系统 。 这 一 章 
将 研究 一 些 可 以 用 来 改善 嵌入 式 系统 整体 可 靠 性 的 通用 设计 技术 。 第 6 章 将 讨论 异常 处 理 设施 
怎么 能 被 用 来 帮助 实现 这 些 设计 思想 ,特别 是 基于 容错 的 思想 :有关 处 理 器 和 通信 失效 的 问 
题 到 第 14 章 再 讨论 。 


5.1 可 靠 性 、 失 效 和 故障 


在 继续 讨论 之 前 ， 必 须 更 精确 地 定义 可 靠 性 、 失 效 和 故障 。Randell 等 (1978) 定义 系统 
的 可 靠 性 是 : 


系统 对 于 其 行为 的 权威 性 规格 说 明 的 符合 程度 的 度量 。 


理想 的 情况 是 ， 这 个 规格 说 明 应 该 是 完全 的 、 一 致 的 、 可 理解 的 并 且 无 歧义 的 。 应 当 注 
意 系统 的 响应 时 间 是 规格 说 明 的 重要 部 分 ， 但 时 限 满足 问题 的 讨论 被 放 到 第 13 章 。 现 在 能 用 
上 述 可 靠 性 定义 来 定义 系统 失效 (failure)。 再 次 引用 Randell 等 的 定义 : 


当 系 统 的 行为 偏离 了 给 它 规定 的 行为 时 ， 就 叫做 失效 。 


` 5.9 节 将 讨论 可 靠 性 的 度量 ， 就 现在 而 言 ， 高 可 靠 性 与 低 失 效率 被 认为 是 同 义 的 。 

机 警 的 读者 可 能 已 经 注意 到 我 们 的 定义 到 目前 为 止 都 与 系统 的 行为 相关 ， 简 言 之 ， 是 它 
外 部 的 表象 。 失 效 起 因 于 系统 内 部 的 意外 问题 ， 这 些 意外 问题 最 后 在 系统 的 外 部 行为 中 表现 
出 来 。 这些 问题 被 称 为 错误 (error), ， 而 它们 的 机 械 或 算法 的 起 因 就 叫做 故障 (fault). AE 
的 有 故障 部 件 就 是 在 系统 生命 期 的 一 组 特定 情况 下 导致 错误 的 部 件 。 从 状态 迁移 的 观点 来 看 ， 
一 个 系统 可 以 被 看 作 一 系列 外 部 和 内 部 的 状态 。 某 外 部 状态 如 果 未 被 系统 行为 所 说 明 则 被 看 
作 是 系统 的 失效 。 系 统 自己 由 许多 部 件 组 成 ， 每 个 部 件 都 有 自己 的 状态 ， 它 们 都 对 系统 的 外 
部 行为 做 出 贡献 。 这 些 部 件 的 组 合 状态 被 称 作 系 统 的 内 部 状态 。 未 被 规定 的 内 部 状态 称 为 错 
误 ， 产 生 非 法 状态 迁移 的 部 件 被 认为 是 有 故障 的 (faulty), 

当然 ， 系 统 通常 是 由 部 件 组 成 的 ， 每 一 个 部 件 又 都 可 以 被 看 作 一 个 系统 。 因 此 一 个 系统 
中 的 失效 将 会 在 另 一 个 系统 中 导致 故障 ， 该 故障 在 那个 系统 中 会 产生 错误 和 潜在 失效 ， 从 而 
依次 将 故障 传人 所 有 周围 的 系统 中 (如 图 5-1 所 示 )。 
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图 5-1 故障 、 错 误 、 失效、 故障 链 


能 够 区 分 三 种 类 型 的 故障 : 

1) 瞬时 故障 瞬时 故障 开始 于 特定 的 时 刻 ， 在 系统 中 保留 二 段 时 间 ， 然 后 消失 。 这 种 故 
障 有 时 发 生 在 对 一 些 外 部 干扰 (比如 电场 和 无 线 电 活动 ) 有 不 利 反应 的 硬件 部 件 中 ;在 干扰 
消失 后 故障 也 就 消失 了 (虽然 不 一 定 导致 错误 )。 通 信 系 统 中 许多 故障 是 瞬时 的 。 

2) 永久 故障 永久 故障 开始 于 特定 的 时 刻 ， 并 且 保 留 在 系统 中 直到 被 修复 例如， 一 根 
折断 的 电线 或 一 个 软件 设计 错误 。 

3) 间歇 故障 这 些 故障 是 间 歌 发 生 的 瞬时 故障 。 例 如 一 个 热 敏感 的 硬件 部 件 ， 它 工作 一 
段 时 间 ， 然 后 停止 工作 ,冷却 以 后 又 开始 工作 。 ; : 
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要 建立 可 靠 的 系统 ， 必 须 防 止 所 有 这 些 类 型 的 故障 引起 错误 的 系统 行为 (也 就 是 失效 )。 
在 安全 至 上 系统 的 构建 中 计算 机 的 不 正当 使 用 增加 了 这 种 困难 。 例 如 ，1979 年 ， 用 来 设计 核 
反应 堆 和 它们 的 支持 性 冷却 系统 的 程序 中 发 现 了 一 个 错误 。 这 个 在 反应 堆 设计 时 产生 的 故障 
没有 在 安装 测试 期 间 发 现 ， 因 为 它 与 管道 和 阀门 的 强度 和 结构 化 支持 有 关 。 人 们 本 以 为 这 个 
程序 达到 了 地 震 时 保证 安全 运转 反应 堆 的 标准 。 最 后 ， 这 个 缺陷 的 发 现 导 致 5 家 核电 厂 关闭 
(Leveson, 1986). 


5.2 失效 模式 


系统 可 以 以 许多 不 同 的 方式 失效 。 正 在 使 用 系统 X 来 实现 田 外 一 个 系统 Y 的 设计 者 通常 都 
会 对 系统 X 可 能 出 现 的 失效 模式 做 一 些 假设 。 如 果 X 不 是 按 假设 的 模式 失效 的 话 ， 那 么 系统 Y 
也 可 能 失效 。 

系统 提供 服务 ， 因 此 、 系 统 的 失效 模式 可 以 按 失 效 给 系统 交付 的 服务 带 来 的 影响 进行 分 
类 。 可 以 识别 出 两 个 一 般 的 失效 模式 域 : 

* 数值 失效 一 一 与 服务 相关 联 的 数值 有 错 

“时 间 失 效 一 一 服务 在 错误 的 时 间 被 交付 

数值 失效 与 时 间 失 效 的 组 合 通常 称 为 任意 (arbitrary) 失效 。 

一 般 来 说 ,数值 错误 可 能 仍然 在 数值 的 正确 范围 之 内 ,或 是 在 服务 预期 的 范围 之 外 。 后 
者 等 价 于 在 程序 设计 语言 中 的 类 型 错误 ， 被 称 为 约束 错误 。 识 别 出 这 类 失效 通常 是 很 容易 的 。 

在 时 间 域 中 的 失效 能 够 导致 正 被 交付 的 服务 出 现 以 下 情况 : 

* 提前 一 一 与 要 求 相 比 服 务 被 提早 交付 








* 延迟 一 一 服务 交付 时 间 比 要 求 要 晚 (通常 称 为 性 能 错误 ) 104 
* 无 限 延 迟 一 一 服务 永远 不 被 交付 《通常 称 为 遗漏 失效 ) 


应 该 识别 出 一 种 更 深层 的 失效 模式 ， 即 未 预期 的 服务 被 交付 了 。 这 种 失效 被 称 为 委托 或 
无 准备 的 失效 。 把 既是 数值 域 又 是 时 间 域 的 失效 同 跟随 有 遗漏 失效 的 委托 失效 区 分 开 是 很 困 
难 的 。 图 5-2 说 明 失 效 模式 的 分 类 。 


失效 模式 
/ N IN ( 非 受 挖 失效 ) 
约束 错 值 错 提前 ” E 延迟 


BRR 失效 停止 受 控 类 效 
图 5-2 失效 模式 分 类 
由 以 上 给 出 的 失效 模式 的 分 类 ， 可 以 对 系统 可 能 如 何 失效 做 一 些 假设 : 
* 非 受 控 失 效 -一 -在 数值 域 和 时 间 域 上 都 产生 随机 错误 的 系统 (包括 无 准备 的 错误 )， 
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,延迟 失效 一 一 在 数值 域 上 产生 正确 的 服务 ， 但 遭受 延迟 时 间 错 误 的 系统 。 

。 寂静 失 效 一 在 数值 域 和 时 间 域 上 都 提供 正确 的 服务 直到 系统 失效 ; 惟一 可 能 的 失效 就 
是 遗漏 失效 ， 并 且 当 遗漏 失效 发 生 时 ， 所 有 后 面 的 服务 也 将 遭受 遗漏 失效 。 

。 失 效 停 止 一 -具有 所 有 寂静 失效 的 属性 的 系统 ， 但 还 允许 其 他 系统 检测 到 它 进 入 了 寂静 
失效 状态 。 

“ 受 控 失效 一 一 系统 在 规定 的 受 控 方 式 下 失效 。 

。 从 不 失效 一 一 在 时 间 域 和 数值 域 上 总 是 提供 正确 服务 的 系统 。 

生 然 可 能 存在 其 他 假设 ， 但 是 以 上 假设 对 本 书 来 说 已 经 是 够 了。 


53 故障 预防 与 容错 


可 以 区 分 两 种 帮助 设计 者 改善 系统 可 靠 性 的 途径 《Anderson and Lee，1990 ) 。 第 一 种 通 
常 叫做 故障 预防 (fault prevention )， 它 试图 在 系统 运作 前 消除 所 有 可 能 进入 系统 的 故障 。 第 
二 种 是 容错 ， 它 使 系统 在 有 故障 出 现 的 情况 下 可 以 继续 运转 。 这 两 种 途径 都 试图 产生 有 明确 
定义 的 失效 模式 的 系统 。 

5.3.1 故障 预防 


故障 预防 分 两 个 阶段 : 故障 回避 (fault avoidance) 和 故障 排除 (fault removal). 

故障 回避 试图 在 系统 构造 期 闻 限制 引入 有 潜在 故障 的 部 件 。 对 硬件 来 说 ， 这 可 能 需要 
(Randell 等 ，1978): 

。 在 给 定 的 费用 和 性 能 限制 以 内 ， 使 用 最 可 靠 的 部 件 ; 

*， 为 了 部 件 的 互联 与 子 系 统 的 装配 ， 使 用 充分 精湛 的 技术 ; 

。 包 装 硬件 ， 以 阻拦 预期 形式 的 干涉 。 

现在 大 型 供 入 式 系 统 的 软件 部 件 比 它们 对 应 的 硬件 部 件 要 复杂 得 多 。 尽 管 软件 不 会 因为 
使 用 而 变 坏 ,但 是 很 明显 ， 在 任何 情况 下 编写 无 故障 程序 几乎 是 不 可 能 的 。 然 而 ， 在 第 2 章 和 
第 4 章 指 出 可 以 通过 下 列 途径 改善 软件 的 质量 : 

* 严格 的 《即使 是 非 形 式 化 的 ) 需求 规格 说 明 ; 

。 使 用 经 过 证 明 的 设计 方法 学 ; 

* 使 用 有 数据 抽象 和 模块 化 设施 的 语言 ; 

* 使 用 软件 工程 工具 帮助 操纵 软件 部 件 从 而 管理 复杂 性 。 

尽管 有 故障 回避 技术 ， 在 系统 构造 后 ， 故 障 还 是 不 可 避免 地 存在 于 系统 中 ， 尤 其 是 在 硬 
件 部 件 和 软件 部 件 中 可 能 都 存在 设计 错误 。 因 此 ， 故 障 预防 的 第 二 步 是 故障 排除 。 故 障 排除 
通常 是 由 发 现 错误 然后 消除 错误 起 因 的 过 程 组 成 的 。 尽 管 可 以 使 用 设计 评审 、 程 序 验 证 、 代 
码 审查 等 技术 ,但 是 重点 通常 是 放 在 系统 测试 上 。 遗 憾 的 是 系统 测试 不 可 能 是 穷尽 式 的 ， 也 
不 可 能 消除 所 有 潜在 的 故障 。 特 别 存在 以 下 问题 : 

“测试 仅仅 能 用 来 显示 故障 的 存在 而 不 能 显示 它们 不 存在 。 

。 有 时 不 可 能 在 真实 的 条 件 下 测试 一 一 担心 美国 主动 战略 防御 系统 的 主要 原因 之 一 是 ， 除 

了 在 战争 条 件 下 ， 要 实际 地 测试 任何 系统 都 是 不 可 能 的 。 大 多 数 测试 是 系统 在 模拟 状态 

下 进行 的 ， 并 且 很 难保 证 模拟 的 准确 性 。 法 国 在 太平 洋 上 进行 的 最 后 一 次 核 试验 ， 据 说 

允许 进行 数据 收集 ， 因 此 将 来 的 试验 可 以 被 模拟 得 更 加 准确 。 
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。 在 系统 开发 的 需求 阶段 引入 的 错误 ， 可 能 直到 系统 开始 运作 才 会 显现 出 来 。 例 如 ， 在 F18 
式 红 机 的 设计 中 ， 曾 对 发 射 装 辟 导 弹 的 时 间 长 度 做 了 一 个 错误 的 假设 。 当 导 弹 疫 能 在 点 
火 后 与 发 射 器 分 开 的 时 候 发 现 了 这 个 问题 ， 这 引起 飞机 剧烈 失控 (Leveson, 1986). 

尽管 有 各 种 测试 和 验证 技术 ,硬件 部 件 还 是 失效 ;" 因 此 ， 当 维修 的 频 度 和 持续 时 间 不 可 
接受 ， 或 系统 无 法 维护 和 进行 修理 的 时 候 ， 故 障 预防 方法 是 不 成 功 的 ;后 者 的 一 个 极端 的 例 
子 就 是 旅行 者 号 无 人 驾驶 飞船 。 

5.3.2 容错 

因为 故障 预防 方法 不 可 避免 的 局 限 性 ， 嵌 大 式 系统 的 设计 者 们 必须 考虑 使 用 容错 的 方法 。 
当然 ， 这 并 不 是 说 应 当 放弃 预防 系统 故障 的 努力 。 然 而 ， 这 本 书 将 重点 讨论 容错 而 不 是 故障 
预防 。 

系统 可 以 提供 若干 不 同 级 别 的 容错 。 

oe C ARR NE ee EN 而 没有 功能 或 性 能 上 的 重大 损失 ， 
虽然 只 是 一 段 有 限 的 时 间 。 
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况 下 继续 运行 ， 在 恢复 或 修补 期 间接 受 功能 或 性 能 上 的 部 分 降级 。 

“故障 保护 (fail safe) 一 一 当 系 统 的 操作 接受 临时 停止 时 ， 系 统 维持 它 的 完整 性 。 

-所 需 的 容错 级 别 取 决 于 应 用 。 尽 管 在 理论 止 大 多 数 安全 至 上 的 系统 需要 完全 容错 ， 实 际 
上 许多 系统 都 设置 为 性 能 降低 。 特 别 地 ， 能 承受 物理 损坏 的 那些 系统 (例如 战斗 机 ) 可 以 提 
供 几 个 级 别 的 性 能 降低 。 再 者 ， 在 连续 的 基础 上 进行 高 度 复杂 的 应 用 操作 时 (这 些 应 用 要 求 
BAAP) 性 能 降低 是 必需 的 ;: 因为 在 不 确定 的 时 间 段 里 完全 容错 是 达 不 到 的 。 例 如 ， 美 国 
联邦 航空 管理 部 的 先进 自动 化 系统 (AAS )， 为 全 美的 空中 交通 和 机 场 起 降 的 管理 者 们 提供 自 [107] 
动 化 服务 ， 它 为 区 域 控制 计算 机 连接 提供 三 种 性 能 降低 的 级 别 ( Avizienis and Ball, 1987). 
图 5-3 中 说 明了 这 一 点 。 
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图 5-3 空中 交通 管制 系统 中 的 性 能 降低 和 恢复 





is] 


82 ESE 


在 某 些 情况 下 ， 以 安全 状态 关闭 系统 是 完全 必要 的 。 这 些 故障 保护 系统 可 以 减少 由 失效 
带 来 的 损害 。 例 如 ，A310 空 中 客车 的 机 可 叶 片 控 制 计 算 机 ， 在 降落 的 过 程 如 果 检 测 到 错误 ， 
就 恢复 系统 到 安全 状态 ， 然 后 关闭 系统 。 在 这 种 情况 下 ， 安 全 状态 就 是 让 双翼 有 相同 的 设置 ， 
在 降落 时 只 有 不 对 称 设置 是 危险 的 (Martin，1982)。 

早期 的 容错 系统 设计 方法 做 了 三 个 假设 : 

1) 正确 地 设计 了 系统 的 算法 ; 

2) 知道 部 件 的 所 有 可 能 失效 模式 ; 

3) 已 经 预见 到 系统 与 环境 间 所 有 可 能 的 交互 。 

然而 ， 计 算 机 软件 复杂 性 的 增加 和 超大 规模 集成 电路 硬件 部 件 的 引入 ， 意 味 着 做 这 些 候 
设 是 不 再 可 能 了 (如 果 曾 经 是 可 能 的 话 )。 因 此 ， 预 见 到 的 故障 和 预见 不 到 的 故障 必须 都 被 考 
虑 到 。 后 者 包括 硬件 和 软件 设计 上 的 故障 。 

5.3.3 TR 


为 检测 故障 并 从 中 恢复 ， 系 统 引 入 了 额外 的 部 件 ， 所 有 实现 容错 的 技术 都 依赖 于 这 些 部 
件 ， 而 它们 并 不 是 系统 操作 的 正常 模式 所 必需 的 。 从 这 个 意义 上 说 这 些 部 件 是 多 余 的 。 这 通 
常 称 为 保护 性 元 余 (protective redundancy )。 容 错 的 目标 就 是 : 在 系统 的 成 本 和 大 小 约束 的 前 
提 下 ,提供 最 大 可 靠 性 并 使 元 余 最 小 。 在 构筑 容错 系统 时 一 定 要 小 心 ， 因 为 增加 的 部 件 不 可 
避免 地 增加 了 整个 系统 的 复杂 度 。 这 本 身 可 能 导致 产生 低 可 靠 的 系统 。 例 如 ， 航 天 飞机 的 首 
次 发 射 因为 备份 计算 机 系统 的 一 个 同步 错误 而 取消 (Garman, ，1981)。 为 了 帮助 减少 同和 元 祭 
部 件 之 间 交 互 有 关 的 问题 ， 把 容错 部 件 和 系统 其 他 部 件 分 开 是 明智 的 。 

元 余 有 若 于 种 不 同 的 分 类 ， 这 些 分 类 取决 于 考虑 哪些 系统 部 件 和 使 用 那些 术语 。 软 件 容 
错 是 这 章 的 主要 关注 点 ， 硬 件 宛 余 技术 只 是 偶尔 提 及 。 对 于 硬件 ， 参 考 文献 Anderson and Lee 
(1990) JE TMS IRA TUR. ATESTAR, TRA TERR (或 子 系统 ) 里 用 来 
屏蔽 故障 带 来 的 影响 。 静 态 元 余 的 一 个 例子 是 三 横 宛 余 (Triple Modular Redundancy, TMR), 
TMR 由 三 个 相同 的 子 部 件 和 多 数 表决 电路 组 成 。 电 路 比较 所 有 部 件 的 输出 ， 如 果 有 一 个 与 郧 
外 两 个 不 同 ， 那 么 就 屏蔽 掉 这 个 输出 。 这 里 假设 故障 不 是 由 子 部 件 的 普通 方面 (例如 设计 错 
误 ) 引起 的 ， 而 是 瞬时 的 或 由 于 部 件 老化 引起 的 。 显 然 ， 要 屏 项 多 个 部 件 的 故障 需要 更 多 的 
ÜR. WI, RENEE (NMR, N Modular Redundancy) 常用 来 表示 这 种 方法 。 

动态 元 余 是 在 部 件 里 提供 的 元 余 ， 它 显 式 或 隐 式 地 指出 输出 有 错误 。 因 此 它 提供 出 错 检 
测 设备 而 不 是 错误 屏蔽 设备 ， 恢 复 必须 由 另外 的 部 件 提供 。 动 态 宛 余 的 例子 是 通信 传播 上 的 
校 验 和 以 及 存储 器 上 的 奇偶 校 验 位 。 

对 于 软件 设计 错误 的 容错 ， 能 够 确认 两 种 一 般 的 途径 。 第 一 种 和 硬件 屏蔽 元 余 类 似 ， 称 
为 N 版 本 程序 设计 ; 第 二 种 基干 出 错 检测 和 恢复 ， 当 检测 到 错误 后 就 开始 执行 恢复 过 程 ， 在 这 
个 意义 上 ， 它 类 似 于 动态 元 余 。 在 14.5 节 会 回 到 硬件 容错 的 问题 ， 这 要 用 到 软件 技术 


9.4 N 版 本 程序 设计 
硬件 TMR 和 NMR 的 成 功 促使 软件 容错 产生 闫 似 方法 。 然而， 软件 不 会 因 使 用 而 老化 内 


此 该 方法 的 使 用 常 集中 在 检测 设计 错误 上 。 事实 上 ， 这 个 方法 (也 就 是 现在 的 N 版 本 程序 设计 ) 
最 早 是 由 Babbage 在 1837 年 提倡 的 (Randell, 1982): 
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当 公式 非常 复杂 时 ， 它 可 以 用 代数 方法 安排 两 种 或 两 种 以 上 不 同 的 方法 去 计算 ， 
同时 可 以 制作 两 套 或 两 套 以 上 的 卡片 。 如 果 每 副 证 片 现在 使 用 一 样 的 常数 ， 并 且 在 
这 些 情况 下 结果 是 一 致 的 ， 那 么 我 们 可 以 对 它们 的 准确 性 完全 放心 。 


独立 地 从 同样 的 初始 规格 说 明 中 产生 N(N 大 于 或 等 于 2) 个 功能 上 相当 的 程序 就 叫做 入 版 
本 程序 设计 (Chen and Avizienis，1978)。 独 立地 产生 N 个 程序 意味 着 N 个 个 体 或 组 没有 相互 
作用 地 生产 出 所 需 软 件 的 N 个 版 本 (因为 这 个 原因 ，N 版 本 程序 设计 通常 称 作 设计 多 样 性 ) 。 
一 旦 设计 并 且 写 好 了 程序 ， 程 序 就 在 相同 的 输入 下 并 发 地 执行 并 且 由 驱动 进程 比较 它们 的 结 
果 。 原 则 上 ， 结 果 应 该 是 相同 的 ， 但 在 实践 中 可 以 有 一 些 差异 ， 在 这 种 情况 下 ， 认 为 那个 一 
致 的 结果 (假定 有 一 个 ) 是 正确 的 。 

N 版 本 程序 设计 基于 如 下 假设 能 够 完全 地 、 一 致 地 并 且 无 歧义 地 规定 程序 ， 并 且 独 立 开 
发 的 那些 程序 独立 地 失效 。 这 就 是 说 ， 一 个 版 本 中 的 故障 与 另 一 个 版 本 中 的 故障 没有 任何 联 
系 。 如 果 每 个 版 本 用 同样 的 编程 语言 编写 ， 这 个 假设 可 能 会 不 成 立 ， 因 为 版 本 之 间 与 语言 也 
实现 有 关 的 错误 可 能 是 共同 的 。 因 此 ， 应 该 使 用 不 同 的 编程 语言 和 不 同 的 开发 环境 。 否 则 ， 
如 果 使 用 相同 的 语言 就 应 该 使 用 不 同 厂 商 的 编译 器 和 支持 环境 。 此 外 ,在 任何 一 种 情况 下 ， 
为 了 避免 出 现 物理 故障 ，N 个 版 本 必须 分 布 到 有 容错 通信 线路 的 不 同 机 器 上 。 在 波音 777 飞 机 
的 控制 系统 中 ， 生 成 一 个 单独 的 Ada 程 序 ， 但 使 用 三 种 不 同 的 处 理 器 和 三 种 不 同 的 编译 器 以 达 
到 设计 多 样 性 。 

AN 版 本 程序 是 由 驱动 进程 控制 的 ， 驱 动 进程 主要 负责 : 

。 调 用 每 个 版 本 

。 等 待 版 本 的 完成 

“比较 并 按 结果 采取 行动 

到 目前 为 止 ， 都 是 隐 式 地 假设 程序 或 进程 在 比较 结果 之 前 已 经 完成 运行 ， 但 是 对 候 入 式 
系统 来 说 通常 都 不 会 是 这 种 情况 ， 这 些 进程 可 能 永远 不 会 完成 。 因 此 ， 驱 动 器 和 N 个 版 本 在 它 
们 执行 的 过 程 中 必须 进行 通信 。 

由 此 可 见 ， 尽 管 这 些 版 本 是 相互 独立 的 ,但 它们 必须 同 驱动 程序 交互 。 在 版 本 的 需求 中 
规定 了 这 种 交互 ， 它 由 三 部 分 组 成 (Chen and Avizienis, 1978): 

1) 比较 向 量 

2) 比较 状态 指示 器 

3) 比较 点 

版 本 怎样 与 驱动 器 通信 和 同步 ,将 取决 于 使 用 的 程序 设计 语言 和 它 的 并 发 模型 (参见 第 7、 
8、9 章 )。 如 果 不 同 的 版 本 使 用 不 同 的 语言 ， 那 么 通常 由 实时 操作 系统 提供 通信 和 同步 的 手段 。 
在 图 5-4 中 用 图 解 显示 了 N= 3 的 版 本 系统 中 各 版 本 与 驱动 器 之 间 的 关系 。 

比较 向 量 是 表示 输出 或 表决 的 数据 结构 ， 是 由 版 本 加 上 与 它们 计算 相关 的 所 有 属性 产生 
的 ， 这 些 必须 由 驱动 器 进行 比较 。 例 如 ， 在 空中 交通 控制 系统 中 ， 如 果 正在 比较 的 值 是 飞机 
的 位 置 ， 一 个 属性 可 以 指示 该 值 是 最 近 的 雷达 读数 ， 或 是 在 原来 读数 的 基础 上 计算 出 的 结果 。 

比较 状态 指示 器 从 驱动 器 传送 到 版 本 ， 它 们 指示 每 个 版 本 根据 驱动 器 的 比较 结果 必须 执 
遇 包 气候 ”这 此 动作 将 依赖 于 比较 的 结果 :是否 表决 同意 以 及 它们 是 否 按时 交付 。 可 能 的 结 
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* 继续 

“一 个 或 多 个 版 本 终止 

* 把 一 个 或 多 个 表决 改 为 多 数值 后 继续 

比较 点 是 版 本 中 的 点 ， 在 这 些 点 上 ， 必 须 将 它们 的 表决 通知 给 驱动 进程 。 正 如 文献 [Hecht 
and Hecht (1986a) ] 指出 的 ， 一 个 重要 的 设计 决定 是 做 比较 的 频率 ， 这 就 是 容错 提供 的 粒度 。 
大 粒度 的 容错 就 是 进行 很 少 的 比较 ， 这 将 使 比较 策略 中 固有 的 性 能 损失 减 到 最 小 并 且 在 版 本 
设计 中 允许 大 量 的 独立 性 。 然 而 ， 大 粒度 可 能 在 获得 的 结果 上 产生 很 大 的 差异 ， 因 为 在 比较 
之 间 要 采取 更 多 的 步骤 。 在 下 一 小 节 会 讨论 表决 比较 或 投票 (经 常 这 样 叫 它 ) 的 问题 。 细 粒 
度 的 容错 需要 程序 结构 在 细节 层次 上 的 共同 性 ， 所 以 会 降低 各 版 本 之 间 的 独立 程度 。 频 繁 的 
比较 还 增加 了 与 这 种 技术 相关 的 开销 。 
5.4.1 表决 比较 


对 和 N 版 本 程序 设计 至 关 重要 的 是 效率 和 易 用 性 ， 驱 动 程序 用 它们 比较 表决 结果 并 决定 是 否 
有 不 一 致 的 表决 结果 。 对 于 文本 处 理 或 整数 运算 的 应 用 程序 通常 会 有 一 个 单一 的 正确 结果 ， 
处 理 器 能 够 很 容易 地 从 不 同 版 本 中 比较 表决 并 且 选 择 多数 决 定 。 

可 惜 不 是 所 有 的 结果 都 是 准确 的 。 特 别 是 ， 在 表决 要 求实 数 运算 的 地 方 ， 不 同 的 版 本 产 
生 完 全 一 样 的 结果 是 不 太 可 能 的 。 这 可 能 是 由 于 硬件 对 实数 的 不 精确 表示 或 具体 算法 的 数据 
灵敏 性 引起 的 。 比 较 这 种 类 型 结果 采用 的 技术 叫 不 精确 表决 (inexact voting)。 一 种 简单 的 技 
术 是 进行 范围 检查 ， 利 用 事先 估计 或 从 所 有 N 个 结果 中 取 中 位 值 的 办 法 。 然 而 ， 找 到 一 个 通用 
的 不 精确 表决 方法 可 能 很 困难 。 

男 外 一 个 同 有 限 精 确 度 运算 有 关 的 困难 也 就 是 所 谓 的 一 致 比较 问题 (consistent comparison 
problem) (Brilliant 等 ，1987)。 当 应 用 程序 必须 要 执行 基于 规格 说 明 给 出 的 有 限 值 的 比较 的 时 
候 ， 就 会 出 现 这 个 问题 ， 比 较 的 结果 决定 采取 何 种 动作 。 例 如 ， 考 虑 一 个 过 程控 制 系统 ， 它 监 
视 温度 和 压力 传感器 ， 根 据 它 们 的 值 采取 适当 的 动作 ， 以 保证 系统 的 完整 性 ; 假定 这 些 读数 的 
任何 一 个 超过 了 界限 值 的 时 候 ， 都 必须 采取 一 些 纠正 的 动作 。 现 在 考虑 一 个 三 版 本 的 软件 系统 
(Wi，V，Vs)， 每 一 个 都 必须 读 取 两 个 传感器 ， 决 定 某 个 动作 ， 然 后 表决 结果 “(在 版 本 天 决 前 
它们 之 间 没有 通信 )。 由 于 有 限 精度 计算 的 原因 ， 每 个 版 本 将 会 计算 不 同 的 值 (温度 传感器 的 
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值 记 作 7,、T,、T;， 压 力 传感器 的 值 记 作 Pl、P;、P;)。 假 设 温度 的 界限 值 是 Ts， 压力 的 界限 值 
是 Ps， 当 两 个 读数 在 它们 的 界限 值 附 近 时 ， 就 出 现 了 - - 致 比较 问题 。 

这 种 情况 可 能 出 现在 T, 和 刚好 低 于 7T;， 而 刚好 高 于 7% 的 时 候 ， 因 此 Vi 和 Vs 将 沿 着 它们 
正常 的 执行 路 径 而 V; 将 采取 一 些 纠正 的 动作 。 现 在 如 果 版 本 Vi 和 V; 进 行 到 了 另 一 个 比较 点 ， 
那么 这 时 在 压力 传感器 中 可 能 会 出 现 P; 刚 好 低 于 Pw 而 P: 刚 好 高 于 Pw 情况 。 总 的 结果 将 是 : 三 
个 版 本 将 会 沿 着 不 同 的 执行 路 径 ， 因 此 产生 不 同 的 结果 ， 每 一 个 结果 都 是 有 效 的 。 图 5-5 用 图 
解 表示 了 这 个 过 程 。 


j 








图 5-5 三 版 本 的 -- 致 比较 问题 


乍 看 之 下 ， 使 用 不 精确 比较 技术 和 如 果 它 们 相差 一 个 公差 A 就 假设 这 些 值 是 相等 的 似乎 是 
恰当 的 ， 但 如 Brilliant 等 人 (1987) 指出 的 那样 ， 当 这 些 值 接近 界限 值 + A 时 ， 问 题 又 会 出 现 。 

当 同 一 问题 存在 多 种 解决 方案 时 ， 还 存在 着 表决 比较 的 更 深 的 问题 。 例 如 ， 一 个 二 次 方程 
可 能 有 一 个 以 上 的 解 ， 这 又 是 可 能 的 不 一 致 ， 尽 管 没有 故障 发 生 (Anderson and Lee, 1990). 
5.4.2 有 N 版 本 程序 设计 的 主要 问题 

已 经 表明 版 本 程序 设计 的 成 功 取决 于 几 个 问题 ， 现 在 予以 简要 评述 。 

1) 初始 规格 说 明 一 一 绝 大 多 数 的 软件 故障 都 源 自 不 充分 的 规格 说 明 (Leveson, 1986). 
当前 的 技术 与 产生 完全 、 一 致 、 可 理解 并 且 无 歧义 的 规格 说 明 还 相差 很 远 ， 然 而 形式 化 的 规 
格 说 明 方 法 正在 被 证 明 是 一 条 富有 成 效 的 研究 路 线 。 毫 无 疑问 ， 规 格 说 明 的 错误 将 会 在 实现 
的 所 有 N 个 版 本 中 表现 出 来 。 

2) 设计 工作 的 独立 性 一 一 已 做 了 一 些 实验 (Knight 等 ，1985; Avizienis 等 ，1988; Brilliant 
等 ，1990; Eckhardt 等 ，1991; Hatton, 1997) 以 测试 下 述 假设 : 独立 生产 的 软件 将 显示 截然 
不 同 的 失效 ， 然 而 ， 它 们 产生 相互 冲突 的 结果 。Knight 等 人 (1985) 指出 : 对 具有 充分 提炼 的 
规格 说 明 的 特定 问题 ， 不 得 不 否决 这 个 假设 ， 因 为 它 同 99% 的 置信 和 度 相距 太 远 。 相 比 之 下 ， 
Avizienis 等 人 (1998) 发 现在 6 版 本 系统 的 两 个 版 本 中 找到 同样 的 故障 是 非常 罕见 的 。 在 比较 他 
们 的 结果 和 那些 由 Knight 等 人 产生 的 结果 中 ， 他 们 推断 Knight 等 人 研究 的 问题 限制 了 多 样 性 的 
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潜力 ， 没 有 正式 地 规定 程序 设计 过 程 ， 测 试 是 很 有 限 的 ， 并 且 按 照 通 用 的 工业 标准 ， 进 行 的 验 
收 测试 远 远 是 不 充分 的 。Avizienis 等 人 宣称 N 版 本 程序 设计 模式 的 严格 应 用 将 会 使 Knight 等 人 报 
告 的 所 有 错误 在 系统 验收 前 消失 。 然 而 ， 存 在 这 样 的 担心 : 规格 说 明 的 有 些 部 分 是 复杂 的 ， 这 
将 不 可 避免 地 导致 所 有 独立 小 组 都 对 需求 缺乏 理解 。 如 果 这 些 需 求 还 引用 很 少 出 现 的 输入 数据 ， 
那么 可 能 就 不 能 在 系统 测试 期 间 抓 住 共同 的 设计 错误 。 在 最 近 几 年 里 ，Hatton (1997) 的 研究 
发 现 三 版 本 系统 的 可 靠 性 仍然 大 约 是 单 版 本 高 质量 系统 的 可 靠 性 的 5 ~ 9 倍 。 

3) 充足 的 预算 一 一 大 多 数 嵌 入 式 系统 的 主要 成 本 是 软件 。 因 此 三 版 本 系统 的 预算 需求 和 
带 来 的 维护 人 员 问 题 将 几乎 是 三 倍 。 在 竟 争 的 环境 中 ， 要 潜在 的 承包 商 提议 使 用 N 版 本 技术 是 
不 太 可 能 的 ， 除非 是 强制 性 的 。 而 且 ， 如 果 将 构造 N 版 本 的 资源 用 于 生产 单 版 本 系统 ， 也 不 大 
清楚 能 否 产 生 比 N 版 本 更 可 靠 的 系统 。 

一 些 实 例 还 表明 ， 找 到 不 精确 表决 算法 是 很 困难 的 ， 并 且 其 至 在 无 故障 的 情况 下 表决 都 
会 不 同 ， 除 非 对 于 一 致 比较 问题 特别 小 心 。 

尽管 N 版 本 程序 设计 在 生产 可 靠 的 软件 中 可 能 有 作用 ， 但 应 该 小 心地 使 用 它 ， 并 且 连 同 别 
的 技术 一 起 使 用 ， 例 如 ， 连 同 下 面 讨论 的 技术 一 起 使 用 。 


5.5 软件 动态 元 余 


和 N 版 本 程序 设计 是 静态 元 余 或 屏蔽 元 余 的 软件 等 价 物 ， 在 这 里 ， 对 外 界 隐 藏 了 部 件 中 的 故 
障 。 因 为 软件 的 每 个 版 本 与 其 他 版 本 和 驱动 器 都 有 固定 的 联系 ， 并 且 无 论 故 障 是 否 发 生 它 都 
要 运转 ， 所 以 N 版 本 程序 设计 是 静态 的 。 就 动态 宛 余 来 说 ， 当 检测 到 错误 时 ， 元 余部 件 才 刚刚 
开始 工作 。 

这 种 容错 技术 有 四 个 组 成 阶段 (Anderson and Lee, 1990 ) 。 . 

1) 出 错 检测 大 多 数 故 障 最 后 都 将 以 某 种 形式 的 错误 表明 自己 ， 直 到 检测 到 那个 错误 
才 可 以 应 用 容错 方案 。 

2) 损害 隔离 和 评估 (damage confinement and assessment) 一 一 当 检测 到 错误 时 ， 必 须 确 
定 系统 被 破坏 到 什么 程度 (这 通常 称 为 出 错 诊断 )， 从 故障 的 发 生 到 相关 错误 的 公开 表明 之 间 
的 延迟 意味 着 可 能 在 整个 系统 范围 内 传播 了 错误 的 信息 。 

3) 出 错 恢 复 一 一 这 是 容错 最 重要 的 方面 之 一 。 出 错 恢复 应 该 旨 在 把 被 破坏 的 系统 转换 为 
一 种 能 继续 正常 操作 的 状态 (也 许 会 伴随 着 功能 的 降级 )。 

4) 故障 处 理 和 继续 服务 一 -错误 是 故障 的 征兆 ， 尽 管 损坏 可 能 被 修复 了 ， 故 障 却 可 能 依 
然 存在 ， 因 此 错误 可 能 会 重 现 ， 除 非 进行 某 种 形式 的 维护 。 

尽管 是 在 软件 动态 元 余 技 术 下 讨论 容错 的 这 四 个 阶段 ， 但 它们 显然 能 够 应 用 到 N 版 本 程序 
设计 中 。 像 Anderson 和 Lee (1990) 已 经 注意 到 的 那样 : 出 错 检测 是 由 进行 表决 检查 的 驱动 器 
提供 的 ; 不 需要 损害 评估 ， 因 为 版 本 是 独立 的 ; 出 错 恢复 包括 抛弃 错误 的 结果 ， 而 故障 处 理 
仅仅 是 忽略 被 确定 会 产生 错误 值 的 版 本 。 然 而 ， 如 果 所 有 版 本 产生 了 不 一 致 的 表决 ， 那 么 就 
进行 出 错 检测 ， 但 是 没有 进行 恢复 的 设施 。 

以 下 几 节 简要 地 和 覆盖 以 上 容错 的 阶段 。 对 这 个 问题 更 完整 的 讨论 ， 读 者 可 以 参考 文献 
[Anderson and Lee (1990) ]. 

5.5.1 出 错 检 测 


任何 容错 系统 的 有 效 性 取决 于 它 的 出 错 检测 技术 的 有 效 性 。 可 以 确定 两 种 出 错 检 测 技 术 。 
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。 环 境 检测 。 这 些 是 在 程序 执行 的 环境 中 检测 到 的 错误 。 它 们 还 包括 那些 由 硬件 检测 到 的 
错误 ， 例 如 “执行 非法 指令 ”"、“ 算 术 溢 出 ”和 “保护 违规 ”。 它 们 还 包括 由 实时 编程 语 
言 的 运行 时 支持 系统 检测 出 的 错误 ， 例 如 ,， “数组 界限 出 错 "、“ 引 用 空 指针 ”和 “数值 
超出 范围 > 。 第 6 章 里 在 Ada 和 Java 程 序 设计 语言 中 将 讨论 这 些 错 误 类 型 。 
应 用 检测 。 这 些 是 由 应 用 程序 自己 检测 到 的 错误 。 应 用 程序 使 用 的 大 多 数 技术 分 成 以 下 
几 大 类 : 
-复制 检查 。 已 经 证 明 N 版 本 程序 设计 能 用 来 进行 软件 故障 的 容错 ， 并 且 这 项 技术 可 以 
用 来 提供 出 错 检测 (通过 使 用 二 版 本 元 余 )。 
-定时 检查 。 已 经 确定 两 种 类 型 的 定时 检查 。 第 一 种 包括 看 门 狗 定时 串 (watchdog 
timer) 进程 ， 如 果 部 件 没 有 在 一 个 确定 的 时 期 内 重 置 这 个 定时 器 ， 就 假定 这 个 部 件 存 
在 错误 。 软 件 部 件 必 须 不 断 地 重 置 这 个 定时 器 来 表明 它 在 正常 工作 。 

在 及 时 响应 至 关 重 要 的 代入 式 系统 中 ， 需 要 使 用 第 二 种 检查 类 型 。 这 使 故障 的 检 
测 与 错过 的 时 限 相 关联 。 在 时 限 调度 由 底层 运行 时 支持 系统 执行 的 地 方 ， 时 限 错 过 的 
检测 可 以 被 认为 是 环境 的 一 部 分 〔 有 关 时 限 调度 的 一 些 问 题 将 在 第 13 章 讨论 )。 

当然 ， 定 时 检查 仅仅 能 保证 部 件 在 按时 工作 ， 而 不 能 确保 部 件 在 正常 地 工作 ! 因 
此 定时 检查 应 该 与 其 他 的 出 错 检测 技术 一 起 使 用 。 
~- 反 向 检查 。 这 在 输入 和 输出 保持 一 对 一 ( 同 构 的 ) 关系 的 部 件 中 是 可 行 的 。 这 种 检查 
取出 输出 ， 计 算 输入 应 该 是 什么 ， 然 后 将 计算 出 的 值 与 实际 的 输入 比较 。 例 如 ， 对 一 
个 计算 算术 平方 根 的 部 件 ， 反 向 检查 只 是 将 输出 做 乎 方 运算 ， 然 后 和 输入 作 比较 (TE 
意 : 当 处 理 实数 时 可 能 必须 使 用 不 精确 比较 技术 )。 
-编码 检查 。 编 码 检查 用 来 测试 数据 的 损坏 ， 它 基于 包含 在 数据 里 的 宛 佘 信息。 例如 ， 
可 以 计算 出 一 个 值 ( 校 验 和 ) 并 且 和 实际 数据 一 起 通过 通信 网 络 发 送 ， 当 收 到 数据 时 ， 
可 以 重新 计算 这 个 值 并 与 校 验 和 比较 。 
-会 理性 检查 。 这 是 基于 内 部 设计 和 系统 构造 知识 的 检查 。 合 理性 检查 就 是 基于 预期 用 
途 检查 数据 的 状态 或 对 象 的 值 是 否 合理 。 对 于 现代 实时 语言 ， 完 成 这 些 检 查 所 需 的 大 
量 信息 可 以 由 程序 员 提 供 (作为 与 数据 对 象 相关 的 类 型 信息 )。 例 如 ， 被 限制 在 确定 
值 以 内 的 整 型 对 象 可 以 用 有 明确 范围 的 整数 的 子 类 型 表示 ， 这 样 运行 时 支持 系统 就 可 
以 检测 到 范围 违规 。 

有 时 ， 软 件 部 件 中 包含 显 式 的 合理 性 检查 ， 这 通常 称 为 断言 ， 并 且 采 用 逻辑 表达 
式 的 形式 。 如 果 没 有 检测 到 错误 ， 就 把 在 运行 时 求 值 的 逻辑 表达 式 的 值 置 为 真 。 
-结构 检查 。 结 构 检 查 常用 来 检查 数据 对 象 (例如 ， 表 或 队列 ) 的 完整 性 。 它 可 能 由 对 
象 里 元 素 的 个 数 、 元 余 的 指针 或 额外 状态 信息 组 成 。 
-动态 合理 性 检查 。 在 一 些 数字 控制 器 发 出 的 输出 中 ， 通 常 两 个 连续 输出 之 闻 有 一 定 的 
联系 。 如 果 一 个 输出 与 前 面 的 值 相 差 很 远 就 可 以 假定 有 错误 发 生 。 

注意 : 以 上 的 许多 技术 也 可 以 应 用 于 硬件 中 ， 因 此 可 能 导致 “环境 错误 ”。 
5.5.2 损害 隔离 和 评估 


由 于 在 故障 发 生 和 检测 到 错误 之 间 可 能 存在 一 定 的 延迟 ， 因 此 评估 可 能 发 生 的 损害 是 很 
有 必要 的 。 虽 然 检 测 到 的 错误 类 型 将 给 错误 处 理 例 程 带 来 一 些 损害 信息 ， 但 错误 的 信息 可 能 
已 经 传播 到 整个 系统 中 ， 并 且 进 入 它 的 环境 中 。 因 而 损害 评估 将 和 由 系统 设计 者 采取 的 损害 
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隔离 预防 措施 密切 相关 。 损 害 隔 离 与 构造 系统 有 关 以 使 由 故障 部 件 引 起 的 损害 减 到 最 小 ， 它 
还 被 称 作 防 火 墙 。 

有 两 种 技术 可 用 于 结构 化 系统 以 辅助 损害 隔离 : 模块 分 解 和 康子 动作 。 在 第 4 章 已 经 讨论 
了 模块 分 解 的 优点 。 在 这 里 ， 重 点 是 系统 应 该 划分 成 部 件 ， 每 个 部 件 可 以 用 一 个 或 几 个 模块 
表示 ， 然 后 各 部 件 之 间 通 过 明确 定义 的 接口 交互 ， 隐 藏 模块 内 部 的 细节 并 且 不 能 从 外 部 直接 
访问 这 些 细节 。 这 使 一 个 部 件 中 的 错误 任意 地 传 入 另 一 个 部 件 变 得 更 加 困难 。 

模块 分 解 为 软件 系统 提供 了 静态 结构 ， 因 为 在 运行 时 大 多 数 结构 都 丢失 了 。 系 统 的 动态 
结构 对 损害 隔离 来 说 同样 重要 ， 因 为 它 使 软件 的 运行 时 行为 的 推理 更 容易 。 一 种 重要 的 动态 
结构 化 技术 是 基于 原子 动作 的 使 用 。 

如 果 在 部 件 的 活动 期 间 ， 该 活动 和 系统 之 间 没 有 交互 ， 就 说 这 个 活动 是 原子 的 。 


这 就 是 说 ， 对 系统 的 其 他 部 分 而 言 原 子 动作 可 认为 是 不 可 分 的 并 且 是 办 时 发 生 的 。 在 原 
子 动作 和 系统 其 他 部 分 之 间 不 能 传递 信息 ， 反 之 亦 然 。 原 子 动作 通常 称 为 事务 或 原子 事务 ， 
它们 常用 来 将 系统 从 一 个 一 致 的 状态 移 至 另 一 个 一 致 的 状态 并 且 约 束 部 件 之 间 的 信息 流 。 当 
两 个 或 两 个 以 上 部 件 共享 一 个 资源 时 ， 那 么 损害 隔离 将 包括 限制 对 那个 资源 的 访问 。 原 子 动 
作 的 这 方面 的 实现 使 用 了 在 现代 实时 语言 中 出 现 的 通信 和 同步 原 语 ， 这 些 将 在 第 10 章 讨论 。 

试图 限制 访问 资源 的 其 他 技术 都 是 基于 保护 机 制 的 ， 其 中 的 一 些 技术 可 以 由 硬件 支持 。 例 
如 ,每 个 资源 可 能 有 一 种 或 一 种 以 上 的 运行 模式 , 每 个 模式 都 有 相关 联 的 访问 列表 (例如, 读 、 
写 和 执行 )。 部 件 的 活动 或 进程 也 将 会 有 一 个 相关 联 的 模式 。 每 当 进程 访问 一 处 资源 时 ， 可 以 
将 预定 的 操作 与 它 的 访问 许可 (access permission) 进行 比较 ， 如 果 有 必要 ， 可 以 拒绝 访问 。 
5.5.3 出 错 恢复 

一 旦 检测 到 了 错误 状态 并 且 进 行 了 损害 评估 ， 就 必须 开始 出 错 恢复 过 程 。 这 可 能 是 任何 
容错 技术 的 最 重要 的 阶段 。 出 错 恢复 必须 把 错误 的 系统 状态 转变 成 能 够 继续 使 系统 正常 操作 
的 状态 ， 虽 然 可 能 使 服务 降级 。 已 经 提出 了 两 种 出 错 恢复 的 方法 : 向 前 恢复 和 向 后 恢复 。 

癌 前 出 错 恢复 试图 通过 对 系统 状态 做 选择 性 的 娇 正 使 它 可 以 从 错误 的 状态 继续 。 由 于 失 
效 ， 受 控 环境 的 某 些 方面 可 能 是 危险 的 或 是 损坏 了 ， 对 侍 入 式 系统 来 说 ， 向 前 恢复 可 能 包括 
使 受 控 环境 的 这 些 方面 都 成 为 安全 的 。 虽 然 向 前 出 错 恢复 可 以 是 高 效 的 ， 但 它 却 是 系统 专用 
的 ， 并 依赖 于 对 错误 位 置 和 起 因 的 准确 预测 (也 就 是 损害 评估 )。 向 前 恢复 技术 的 例子 包括 数 
据 结构 中 的 元 余 指 针 和 自动 矫正 码 ( 比 如 Hamming 码 ) 的 使 用 。 如 果 当 错误 发 生 时 有 一 个 以 
上 的 进程 提供 服务 ， 那 么 在 恢复 动作 期 间 可 能 还 需要 中 止 或 异步 异常 设施 。 

向 后 出 错 恢复 把 系统 恢复 到 错误 发 生 以 前 的 安全 状态 ， 然 后 执行 程序 的 -个 赫 代 段 。 这 
个 奉 代 段 与 产生 故障 的 段 有 相同 的 功能 ， 但 使 用 不 同 的 算法 。 同 N 版 本 程序 设计 一 样 ， 希 望 这 
种 替代 的 方法 将 不 会 导致 相同 故障 的 复发 。 恢复 进程 的 点 称 作 恢 复 点 (recovery point)， 通 党 
把 建立 恢复 点 的 行为 称 为 设立 检查 点 checkpointing)。 为 了 建立 恢复 点 ， 必 须 保存 系统 在 运 
行 时 的 适当 状态 信息 。 

状态 恢复 的 优点 是 清除 了 错误 的 状态 ， 以 及 不 依赖 于 找到 故障 的 位 置 或 起 因 。 因 此 向 后 
出 错 恢复 可 以 用 来 恢复 没有 预料 到 的 故障 ， 包 括 设计 错误 。 然而， 向 后 恢复 的 缺点 是 ， 它 不 
于 手 消 在 优 人 式 系统 的 环境 中 故障 可 能 已 经 产生 的 任何 影响 ， 例 如 很 难 撤消 一 次 导弹 发 射 ， 
时 外 ， 向 后 出 错 恢 复 在 执行 过 程 中 可 能 是 耗 时 的 ， 这 可 能 妨碍 了 它 在 一 些 实时 应 用 程序 中 的 
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使 用 。 例 如 ， 包 含 传感器 信息 的 操作 可 能 是 依赖 于 时 间 的 ， 因 此 昂贵 的 状态 恢复 技术 可 能 完 — 1118 
全 不 可 行 。 所 以 ， 可 以 考虑 用 逐步 设立 检查 点 (incremental checkpointing) 的 方法 来 改善 性 
能 。 恢 复 缓存 (recovery cache) 就 是 这 种 系统 的 一 个 例子 (Anderson and Lee，1990)。 其 他 
的 方法 包括 审计 追踪 或 系统 日 志 ， 在 这 些 情形 中 ， 底 层 支 撑 系 统 必 须 通 过 反 转 日 志 中 指出 的 
动作 来 撤消 进程 的 影响 。 
对 于 相互 作用 的 并 发 进程 ， 状 态 恢复 不 像 迄 今 为 止 描绘 的 那样 简单 。 考 虑 图 $-6 中 描绘 的 
两 个 进程 。 进程 P 建 立 恢复 点 Ri、 Ris 和 R13， 进 程 P, 建 立 恢复 点 R21 和 R,。 并 且 ， 两 个 进程 通 
过 IPC!、IPC;,、IPC3 和 JPCs 通 信 并 使 它们 的 动作 同步 。 缩 写 1PC 用 来 表示 进程 间 通 信 。 
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图 5-6 多 米 诺 效应 


如 果 P, 在 T. 时 刻 检测 到 错误 ， 那 么 它 只 需要 回 卷 到 恢复 点 Ri; 即 可 。 然 而 ， 考 虚 一 下 P, 在 T, 
时 刻 检 测 到 错误 的 情形 。 如 果 户 回 卷 到 Ra ， 那 么 它 必须 撤消 同 已 的 通信 /PC4， 这 又 需要 已 回 
卷 到 到 Rl。 但 是 如 果 P1 回 卷 到 到 Ri,，，P; 必 须 回 卷 到 Rs 来 撤消 通信 1PC;， 如 此 类 推 。 结 果 将 是 
两 个 进程 将 回 卷 到 到 它们 开始 交互 的 位 置 。 在 许多 情形 下 ， 这 么 做 相当 于 中 止 两 个 进程 | 这 


种 现象 被 称 作 多 米 诺 效 应 。 119 
显然 ， 如 果 两 个 进程 互相 没有 交互 ， 那 么 就 不 会 出 现 多 米 诺 效应 。 当 两 个 以 上 的 进程 交 


互 时 ， 多 米 诺 效应 发 生 的 可 能 性 会 增加 。 在 这 种 情况 下 ， 必 须 在 系统 中 设计 一 致 的 恢复 点 ， 
使 得 在 一 个 进程 中 检测 的 错误 不 会 导致 与 该 进程 交互 的 所 有 进程 的 全 部 回 卷 ， 相 反 ， 可 以 从 
一 组 一 致 的 恢复 点 重新 启动 这 些 进程 。 这 些 通常 称 为 恢复 线 (recovery line)， 它 与 本 节 前 面 
介绍 过 的 原子 动作 的 概念 联系 紧密 。 第 10 章 中 将 再 次 讲 到 并 发 进程 中 的 出 错 恢复 问题 ， 在 本 
章 余下 的 部 分 中 将 只 考虑 顺序 系统 的 情况 。 

已经 介绍 了 向 前 恢复 和 向 后 恢复 的 概念 ， 每 种 恢复 都 有 它们 的 优 缺 点 。 嵌 入 式 系统 不 仅 
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必须 能 从 不 可 预见 的 出 错 恢复 ， 它 们 还 一 定 要 在 限定 的 时 间 内 响应 ， 所 以 ， 向 前 恢复 和 向 后 
恢复 这 两 种 技术 它们 可 能 都 需要 。 下 一 节 将 研究 向 后 出 错 恢复 在 顺序 实验 性 程序 设计 语言 中 
的 表达 问题 。 在 这 一 章 中 将 不 深入 探讨 向 前 出 错 恢复 机 制 ， 因 为 用 一 种 同 应 用 无 关 的 方式 提 
供 它 是 很 困难 的 。 然 而 ， 下 一 章 在 异常 处 理 的 共同 框架 内 会 研究 两 种 形式 的 出 错 恢复 的 实现 
问题 。 
5.5.4 故障 处 理 和 继续 服务 

错误 是 故障 的 表现 ， 尽 管 出 错 恢复 阶段 可 能 使 系统 回 到 无 错误 状态 ， 但 错误 有 可 能 重 现 。 
因此 容错 的 最 后 阶段 是 从 系统 中 根除 故障 ， 使 正常 的 服务 能 够 继续 。 

故障 的 自动 处 理 是 很 难 实现 的 ， 且 倾向 于 系统 专用 的 处 理 。 所 以 ， 一 些 系统 没有 提供 故 
障 处 理 ， 它 们 假定 所 有 的 故障 都 是 瞬时 的 ; 另 一 些 系统 假定 出 错 恢复 技术 十 分 强大 足以 对 付 
故障 的 再 次 发 生 。 

故障 处 理 可 以 分 为 两 个 阶段 : 故障 定位 和 系统 修复 。 错 误 检 测 技 术 有 助 于 妃 踪 部 件 的 坝 
障 。 对 硬件 部 件 来 说 这 可 能 足够 准确 ， 并 且 部 件 可 以 简单 地 替换 。 在 代码 的 新 版 本 中 可 以 消 
除 软件 故障 ， re IU HADSESSIRIRIERW, i aloe i 这 提出 
了 一 个 有 意义 的 技术 问题 ， 但 在 这 里 不 深入 探讨 它 。 


5.6 软件 容错 的 恢复 块 方法 


恢复 块 (Horning 等 ，1974) 就 是 一 般 程 序 设计 语言 意义 上 的 块 ， 不 同 的 是 在 块 的 入 口 有 
一 个 自动 的 恢复 点 ， 并 且 在 出 口 有 接受 测试 (acceptance test)。 接 受 测试 用 以 测试 在 块 (或 基 
本 模块 ) 执行 后 系统 是 否 处 于 可 接受 的 状态 。 接 受 测试 的 失败 会 导致 程序 恢复 到 块 起 点 上 的 
恢复 点 并 执行 一 个 替代 模块 。 如 果 替 代 模 块 的 接受 测试 也 失败 了 ， 那 么 程序 又 一 次 恢复 到 恢 
复 点 并 执行 另 一 个 模块 ， 如 此 类 推 。 如 果 所 有 的 模块 都 失败 了 ， 那 么 这 个 块 就 失败 了 ， 并 且 
要 在 更 高 级 别 上 进行 恢复 。 图 5-7 说 明了 恢复 块 的 执行 过 程 。 





图 5-7 恢复 块 机 制 


就 软件 容错 的 四 个 阶段 来 说 ， 出 错 检 测 是 通过 接受 测试 完成 的 ， 损 害 评估 是 不 需要 的 ， 
因为 向 后 出 错 恢复 假定 要 清除 所 有 错误 的 状态 ， 故 障 处 理 是 通过 使 用 待 用 替换 品 实现 的 。 

虽然 市 场 提供 的 实时 程序 设计 语言 都 没有 利用 恢复 块 的 语言 特征 ， 还 是 开发 了 一 些 实验 
系统 (Shrivastava, 1978) (Purtilo and Jalote, 1991)。 以 下 说 明了 一 种 用 于 恢复 块 的 可 能 的 
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语法 : 
ensure < 接受 测试 > 
by 
< 基本 模块 > 
else by 
< 杰 代 模块 > 
else by 
< 替代 模块 > 
else by 
<HR> 
else error ， 
和 普通 的 块 一 样 ， 恢 复 块 也 可 以 嵌 套 。 如 果 在 嵌 套 恢复 块 中 的 块 的 接受 测试 失败 了 ， 并 且 
它 所 有 的 替代 模块 也 失败 了 ， 那 么 将 会 恢复 外 层 的 恢复 点 ， 并 且 执行 那个 块 的 一 个 替代 模块 。 
为 了 说 明 恢 复 块 的 用 途 ， 我们 考虑 各 种 用 来 得 到 微分 方程 的 数值 解 的 方法 。 由 于 这 些 方 
法 并 不 给 出 精确 的 解 ， 还 易 受 各 种 错误 的 支配 ， 可 以 发 现 一 些 方法 对 某 些 种 类 的 方程 要 比 对 
其 他 的 方程 表现 得 更 好 。 令 人 遗憾 的 是 ， 根 据 完成 方法 的 执行 需要 的 时 间 ， 实 现 那些 适用 面 
宽 又 给 出 精确 解 的 方法 是 很 昂贵 的 。 例 如 ， 显 式 Kutta 方 法 比 隐 式 Kutta 方 法 更 有 效 。 然 而 ， 
它 只 能 为 特定 问题 给 出 可 接受 的 误差 公差 。 有 一 类 方程 称 作 刚性 方程 ， 它 的 使 用 显 式 Kutta 方 
法 的 解 导致 了 舍 入 误差 的 积累 ， 而 更 昂贵 的 隐 式 Kutta 方 法 可 能 更 足以 处 理 这 个 问题 。 下 面 说 
明 一 种 使 用 恢复 块 的 方法 ， 它 能 够 使 非 刚 性 方程 采用 更 便宜 的 方法 ,但 是 当 求 解 刚性 方程 时 
它 也 不 会 失败 。 
ensure 舍 人 误差 在 容许 范围 内 
by 
显 式 Kutta 方法 
else by 
隐 式 Kutta 方法 
else error 
在 这 个 例子 中 ， 通 常 使 用 的 是 较 便宜 的 显 式 方法 ， 然 而 ， 当 显 式 方法 失败 时 就 采用 更 昂贵 的 
隐 式 方法 。 虽 然 这 种 误差 是 预期 的 ， 这 种 方法 在 显 式 算法 的 设计 中 仍然 容许 有 误差 。 如 果 算 
法 本 身 存在 错误 ， 并 且 接 受 测试 足够 全 面 可 以 检测 两 种 类 型 的 错误 结果 ， 就 使 用 隐 式 算法 ， 
当 接 受 测试 不 够 全 面 时 可 以 使 用 幅 套 的 恢复 块 。 下 面 提供 了 完全 的 设计 宛 余 度 ， 同 时 总 是 尽 
可 能 使 用 更 便宜 的 算法 。 
ensure 含 人 误差 在 容许 范围 内 
by 
ensure 合理 值 
by 
显 式 Kutta 方法 
else by 
预测 器 -矫正 器 K 步 方法 
else error 
else by 
ensure 合理 值 
by 











92 LEE 


Bask Kutta 方法 
else by 
变 阶 K 步 方法 

else error 

else error 
上 面 给 出 了 两 种 显 式 方法 ， 当 两 种 方法 都 没 能 产生 切合 实际 的 结果 时 就 执行 隐 式 Kutta 方 法 。 
当然 ， 如 果 由 显 式 方法 产生 的 值 是 合理 的 ， 但 却 不 在 要 求 的 容许 误差 之 内 ， 也 将 执行 隐 式 
Kutta 方 法 。 只 有 当 四 种 方法 都 失败 时 ， 方 程 才 算 没 有 解 出 来 。 

下 面 说 明 恢复 块 可 以 以 另 一 种 方式 嵌 套 。 在 这 种 情况 中 ， 当 不 合理 的 结果 也 不 在 可 接受 的 
容许 误差 之 内 时 将 发 生 不 同 的 行为 。 在 第 一 种 情况 下 ， 执 行 显 式 Kutta 算 法 后 将 尝试 预测 器 - 
矫正 器 法 。 在 第 二 种 情况 下， 将 执行 隐 式 Kutta 算 法 。 

ensure 合理 值 

by 

ensure 含 人 误差 在 容许 限度 内 

by 

WX Kutta 方法 
else by 

Bas Kutta Jjik 
else error 

else by 

ensure 含 人 误差 在 容许 限度 内 
by 
预测 器 -矫正 器 K 步 方法 
else by 
变 阶 K 步 方法 
else error 
else error 


接受 测试 

接受 测试 提供 出 错 检测 机 制 ， 它 使 系统 能 够 利用 宛 余 。 接 受 测试 的 设计 对 恢复 块 方案 的 
功效 至 关 重 要 。 同 所 有 的 出 错 检测 机 制 一 样 ， 在 提供 全 面 的 接受 测试 和 保持 接受 测试 需要 的 
系统 开销 最 小 之 间 有 一 个 折 囊 方案 ， 使 得 对 正常 无 故障 执行 的 影响 尽 可 能 小 。 注 意 ， 使 用 的 
术语 是 接受 性 而 不 是 正确 性 ， 这 就 允许 部 件 提供 一 种 降级 的 服务 。 

55.1 小 节 中 讨论 的 所 有 出 错 检 测 技 术 可 以 用 来 形成 接受 测试 。 然 而 ， 它 们 的 设计 必须 小 
心 ， 因 为 有 故障 的 接受 测试 可 以 导致 检测 不 到 残留 的 错误 。 


5.7 N 版 本 程序 设计 和 恢复 块 的 比较 


已 经 描述 了 提供 容错 软件 的 两 种 方法 : N 版 本 程序 设计 和 恢复 块 。 显然， 它们 共享 基本 原 
理 的 某 些 方面 ， 但 同时 又 是 十 分 不 同 的。 本 节 简 要 地 评述 并 比较 这 两 种 方法 。 

“ 静态 元 余 和 动态 宛 余 | 

AN 版 本 程序 设计 是 基于 静态 元 余 的 ， 不 管 是 否 有 故障 发 生 ， 所 有 的 版 本 都 是 并 行 运行 的 。 
相反 ， 恢 复 块 是 动态 的 ， 因 为 只 有 当 检测 到 错误 时 才 执行 替代 模块 。 

“相关 的 开销 。 

NN 版 本 程序 设计 和 恢复 块 都 带 来 额外 的 开发 费用 ， 因 为 两 者 都 需要 开发 替代 算法 。 另 外 ， 
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对 于 N 版 本 程序 设计 ， 必 须 设计 驱动 器 进程 ， 而 恢复 块 需要 设计 接受 测试 。 

在 运行 时 ，N 版 本 程序 设计 通常 需要 N 倍 于 单个 版 本 的 资源 。 虽 然 恢复 块 在 任何 一 个 时 刻 
只 需要 一 套 和 资源， 恢复 点 的 建立 和 状态 恢复 进程 是 昂贵 的 。 然 而 ， 对 恢复 点 的 建立 有 可 能 
供 硬件 支持 (Lee 等 ，1980)， 并 且 只 有 当 出 现 故障 时 才 需 要 状态 恢复 。 

。 设 计 多 样 性 

两 种 方法 为 了 实现 容许 不 可 预见 错误 都 利用 了 多 样 性 设计 。 因 此 ， 两 种 方法 易 受 到 来 自 
需求 规格 声明 的 错误 的 影响 。 

“出错 检测 

N 版 本 程序 设计 用 表决 比较 来 检测 错误 ， 而 恢复 块 则 使 用 接受 测试 。 在 可 以 进行 精确 或 
不 精确 表决 的 地 方 ， 与 之 相关 的 开销 要 比 使 用 接受 测试 的 少 。 然 而 ， 在 很 难 找到 不 精确 表 
决 技术 的 地 方 ， 在 存在 多 种 解决 方案 或 有 一 致 比较 问题 的 地 方 ， 接 受 测试 可 以 提供 更 大 的 
灵活 性 。 

* 原子 性 

向 后 出 错 恢复 受到 批评 是 因为 它 不 能 撤消 在 环境 中 可 能 已 经 发 生 的 任何 损害 。N 版 本 程序 
设计 避免 了 这 个 问题 ， 因 为 假定 所 有 的 版 本 互 不 干涉 : 它们 是 原子 的 。 这 要 求 每 个 版 本 同 驱 
动 进程 通信 而 不 是 直接 和 环境 通信 。 然 而 ， 完 全 可 以 构造 一 个 程序 使 不 可 恢复 的 操作 不 在 恢 
复 块 中 出 现 。 

可 能 应 该 强调 的 是 : 尽管 N 版 本 程序 设计 和 恢复 块 被 说 成 是 相互 竞争 的 方法 ， 还 是 可 以 
认为 它们 是 互补 的 。 例如， 没有 什么 可 以 阻止 设计 者 在 N 版 本 系统 的 每 一 个 版 本 中 使 用 恢复 
块 技术 。 


5.8 动态 元 余 和 异常 


在 这 一 节 里 ， 要 介绍 实现 软件 容错 的 一 种 框架 ， 它 基于 动态 宛 余 和 异常 以 及 异常 处 理 程 
序 的 概念 。 

到 这 一 章 为 止 ， 术 语 “ 错 误 ” 都 是 用 来 指出 故障 的 表现 ， 只 要 故障 是 偏离 了 部 件 的 规格 
说 明 。 这 些 错误 可 以 是 预见 到 的 (例如 ， 由 硬件 故障 引起 的 传感器 读数 超出 范围 )， 或 是 预见 
不 到 的 《例如 ， 部 件 中 的 设计 错误 )。 异 常 可 以 定义 为 错误 的 发 生 。 使 引起 异常 的 操作 的 调用 
者 注意 到 异常 状态 ， 称 为 引发 (或 发 信号 或 抛 出 ) 异常 并 且 把 调用 者 的 响应 称 为 处 理 (或 捕 
获 ) 异常 。 异常 处 理 可 以 认为 是 向 前 出 错 恢 复 机 制 ， 因 为 引发 异常 时 系统 没有 返回 到 先前 的 
状态 ， 相 反 ， 榨 制 权 交 给 了 处 理 程序 以 便 可 以 启动 恢复 过 程 。 然 而 ， 就 像 将 在 6.5 节 说 明 的 屠 
样 ， 异 常 处 理 功能 还 可 以 用 来 提供 向 后 出 错 恢复 ， 

尽管 已 经 把 错误 的 发 生 定义 为 异常 ， 仍 然 有 关于 异常 的 真正 性 质 和 什么 时 候 使 用 异常 的 
争论 。 例 如， 研究 一 个 维护 编译 器 符号 表 的 软件 部 件 或 模块 ， 它 提供 的 操作 之 “是 查找 符号 ， 
查找 有 两 种 可 能 的 结果 : 符号 存在 和 符号 不 存在 。 每 一 种 结果 都 是 可 以 预见 的 并 且 有 可 能 表 
现 一 个 错误 状态 。 如 果 查 找 操作 是 用 来 决定 符号 在 程序 体 中 的 解释 ， 那 么 符号 不 存在 就 对 应 
于 “未 声明 的 标识 符 "， 这 是 一 个 错误 状态 。 然 而 ， 如 果 在 声明 过 程 中 使 用 查找 操作 ， 符 号 不 
看 在 的 结果 也 许 是 正常 情况 ， 而 符号 存在 就 是 “重复 定义 ” 异常。 因此， 什么 才 是 错误 取决 
于 事件 发 生 的 上 下 文 。 然 而 ， 在 以 上 的 任何 一 种 情况 中 都 会 产生 这 样 的 和 争论: 错误 并 不 是 符 
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号 表 部 件 或 编译 器 的 错误 ， 因 为 每 种 结果 都 是 可 预见 的 并 且 形 成 了 符号 表 模块 功能 的 一 部 分 ， 
因此 两 种 结果 都 不 应 该 表示 成 异常 。 

异常 处 理 设施 过 去 没有 被 合并 到 程序 设计 语言 中 来 针对 程序 员 的 设计 错误 ， 然 而 ， 在 6.5 
节 中 将 介绍 它们 可 以 如 何 用 来 这 么 做 。 引 入 异常 的 最 初 动机 是 来 自 处 理 程 序 执行 环境 中 出 现 
的 不 正常 状态 的 需要 。 这 些 异常 可 以 称 作 环 境 运 行 中 的 稀有 事件 ， 在 程序 里 面 也 许 能 从 异常 
恢复 ， 也 许 不 能 。 一 个 有 故障 的 阀门 或 一 个 温度 报警 器 可 能 产生 异常 。 给 定 了 足够 时 间 ， 这 
些 稀有 事件 就 可 能 发 生 ， 因 此 必须 容许 。 

尽管 如 此 ， 异 常 和 它们 的 处 理 程序 将 不 可 避免 地 当 作 通用 的 出 错 处 理 机 制 来 使 用 。 总 之 ， 
异常 和 异常 处 理 可 以 用 来 : 

。 应 付出 现在 环境 中 的 不 正常 状态 

。 使 得 能 够 容忍 程序 设计 故障 

。 提 供 通用 的 出 错 检测 和 恢复 设施 

在 第 6 章 中 会 更 详细 地 讨论 异常 。 
理想 的 容错 系统 部 件 

图 5-8 显 示 了 建立 容错 系统 的 理想 部 件 (Anderson and Lee，1990)。 此 部 件 接受 服务 请 求 ， 
并 且 如 果 必 要 的 话 ， 它 会 在 产生 响应 之 前 召唤 其 他 部 件 的 服务 。 这 可 以 是 正常 响应 或 是 异常 
响应 。 在 理想 的 部 件 中 可 能 产生 两 种 类 型 的 故障 : 一 类 是 那些 由 非法 服务 请 求 引起 的 故障 ， 
称 作 接 口 异 常 ; 另 一 类 是 那些 由 部 件 本 身 的 误 动作 或 为 初始 请 求 服务 所 需 的 部 件 中 引起 的 故 
障 。 当 部 件 无 论 使 用 向 前 出 错 恢复 或 向 后 出 错 恢 复 都 不 能 容忍 这 些 故障 时 ， 在 调用 部 件 中 就 
产生 了 失效 异常 。 在 引发 任何 异常 之 前 ， 部 件 必 须 尽 可 能 将 自身 返回 到 一 致 状态 ， 以 便 它 能 
够 为 任何 将 来 的 请 求 服务 。 


服务 请 求 正常 响应 接口 异常 失效 异常 





返回 到 正常 服务 


服务 请 求 正常 响应 接口 异常 失效 异常 
图 5-8 理想 的 容错 部 件 





TERRES 95 


5.9 软件 可 靠 性 的 测量 和 预测 


硬件 部 件 的 可 靠 性 度量 已 经 建立 了 很 长 时 间 。 传 统 上 ， 把 每 个 部 件 看 作 是 同样 成 员 的 总 
体 的 一 个 代表 ， 部 件 的 可 靠 性 是 由 测试 时 失效 的 样本 的 比例 来 估算 的 。 例 如 ， 已 经 观察 到 ， 
在 初始 的 稳定 时 期 之 后 ， 电 子 部 件 是 按 国定 比率 失效 的 ， 它 们 在 时 刻 的 可 靠 性 可 以 建 模 为 

R(t)}=Ge-* 
这 里 C 是 常量 ，4 是 所 有 组 成 部 件 的 失效 率 的 总 和 。 通 常 使 用 的 度量 是 平均 失效 间隔 时 间 (Mean 
Time Between Failure，MTBF ) ， 无 元 余 系 统 的 平均 失效 间隔 时 间 等 于 1/X。 

软件 可 靠 性 的 预测 和 测量 还 不 是 一 个 完善 的 学 科 。 它 被 那些 需要 极其 可 靠 系统 的 行业 忽 
视 了 很 多 年 ， 因 为 软件 不 因 使 用 而 损坏 ， 它 被 视 为 要 么 可 靠 要 么 不 可 靠 。 并 且 ， 在 过 去 ， 特 
定 的 软件 部 件 只 在 事先 预定 了 它们 的 系统 中 使 用 一 次 ， 因 此 ， 尽 管 消除 了 所 有 在 测试 期 间 发 
现 的 错误 ， 但 是 这 并 不 能 导致 开发 出 能 在 别处 使 用 的 更 可 靠 的 部 件 。 这 同 大 规模 生产 的 硬件 
部 件 形成 反差 ， 后 者 可 以 纠正 设计 中 发 现 的 任何 错误 ， 使 下 一 批 更 可 靠 。 然 而 ， 现 在 认识 到 
通过 部 件 的 重用 ， 软 件 的 可 靠 性 是 可 以 改善 的 ， 并 且 可 以 减少 软件 成 本 。 令 人 遗憾 的 是 ， 我 
们 对 怎样 建立 可 重用 的 软件 部 件 的 理解 还 很 不 全 面 (参见 4.5.1 节 )。 

人 们 仍然 普遍 持 有 这 种 观点 : 软件 要 么 是 正确 的 ， 要 么 是 不 正确 的 。 如 果 是 不 正确 的 ， 
程序 测试 或 程序 验证 将 指出 故障 的 位 置 ， 然 后 予以 改正 。 本 章 试 图 说 明 : 传统 的 软件 测试 方 
法 (尽管 是 必 不 可 少 的 ) 不 能 确保 程序 是 无 故障 的 ， 特 别 是 那些 残留 着 规格 说 明 错误 或 设计 
错误 的 大 型 而 又 复杂 的 系统 。 并 且 ， 尽 管 在 正确 性 证 明 领域 有 了 飞速 的 进展 ， 当 前 的 技术 水 
于 对 于 那些 非 同 小 可 的 系统 ， 特 别 是 那些 涉及 时 间 概 念 的 系统 的 应 用 仍然 是 力不从心 的 。 正 
是 这 些 原因 ， 使 我 们 要 提倡 通过 使 用 宛 余 来 改善 可 靠 性 的 方法 。 令 人 遗憾 的 是 ， 即 使 用 这 种 
方法 也 不 能 保证 包含 软件 的 系统 不 会 失效 。 因 此 ， 发 展 预测 或 测量 软件 可 靠 性 的 技术 是 极其 
重要 的 。 

可 以 认为 软件 可 靠 性 是 给 定 的 程序 在 指定 的 环境 和 指定 时 间 长 度 内 正确 运行 的 概率 。 已 
经 提出 了 试图 估计 软件 可 靠 性 的 几 种 模型 ， 这 些 模 型 可 以 分 为 以 下 几 类 (Goel and Bastini, 
1985): 

“软件 可 靠 性 增长 模型 

* 统计 模型 
增长 模型 试图 在 程序 错误 历史 的 基础 上 预测 程序 的 可 靠 性 。 统 计 模型 试图 通过 在 不 纠正 发 现 
的 任何 错误 的 情况 下 ， 确 定 程序 对 测试 用 例 的 一 个 随机 样本 的 成 功 或 失败 响应 来 估计 程序 可 
靠 性 。 特 别 是 增长 模型 现在 十 分 成 熟 ， 并 且 关于 它们 的 应 用 有 大 量 的 文献 和 产业 经 验 (Litt. 
lewood and Strigini, 1993; Bennett, 1994: Lytz, 1995), $mi, Littlewood pStrigini 
(1993) 争论 说 ; 单 靠 测 试 只 能 为 最 多 10-* (更 精确 地 说 ， 是 每 操作 小 时 10 -个 错误 ) 的 
可 车 性 估计 提供 证 据 。 这 应 该 与 航空 电子 和 核能 应 用 通常 引用 的 10 -* 的 可 靠 性 需求 进行 
比较 。 


5.10 安全 性 、 可 靠 性 和 可 依赖 性 


术语 “安全 性 ”( 在 第 2? 章 给 过 它 非 正式 的 定义 ) 可 以 结合 这 一 章 出 现 的 问题 来 延伸 它 的 
含义 。 这 样 ， 安 全 性 可 以 定义 为 所 脱 那 些 可 能 造成 人 员 伤亡、 职业 病 、 设 备 损坏 (或 财产 
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损失 ) 或 环境 损害 的 状态 (Leveson，1986)。 然 而 ， 由 于 这 个 定义 考虑 到 那些 存在 着 与 不 安 
全 使 用 相关 的 风险 元 素 的 大 多 数 系统 ， 所 以 软件 安全 性 通常 按照 事故 (mishap) 来 定义 
(Leveson，1986)。 事 故 就 是 可 能 造成 人 员 伤亡 、 职 业 病 、 设 备 损坏 《或 财产 损失 ) 或 环境 损 
害 的 一 个 或 一 系列 意外 事件 。 

虽然 可 靠 性 和 安全 性 经 常 被 认为 是 同 义 语 ， 但 它们 强调 的 重点 不 同 。 可 靠 性 被 定义 为 系 
统 成 功 符合 其 行为 的 权威 性 规格 说 明 的 测度 。 通 常 这 用 概率 表示 。 而 安全 性 是 导致 事故 不 发 
生 的 概率 ， 无 论 预期 功能 是 否 执 行 。 这 两 种 定义 可 能 互相 冲突 。 例 如 ， 提 高 武器 射击 的 可 靠 
性 的 措施 可 能 也 会 增加 它 意外 爆炸 的 可 能 性 。 在 许多 方面 ， 惟 一 安全 的 飞机 就 是 从 不 起 飞 的 
飞机 ， 然 而 ， 它 也 不 是 非常 可 靠 的 。 l 

与 可 靠 性 一 样 ， 要 确保 嵌 人 式 系统 的 安全 性 要 求 ， 系 统 安全 分 析 必 须 贯 穿 它 生 命 周 期 开 
发 的 所 有 阶段 。 进 行 安全 分 析 的 详细 描述 超出 了 本 书 的 范围 ， 对 于 软件 故障 树 分 析 一 一 一 种 
用 来 分 析 软 件 设计 安全 性 的 一 种 技术 一 一 的 一 般 性 讨论 ， 读 者 可 以 参考 文献 Leveson and 
Harvey (1983). 

可 依赖 性 

在 过 去 的 十 年 间 ， 在 可 靠 性 和 容错 计算 这 个 领域 进行 了 许多 的 研究 。 结 果 ， 这 个 术语 已 
经 变 得 过 载 了 ,研究 人 员 们 要 寻找 表达 他 们 希望 强调 的 特殊 方面 的 新 词 和 短语 。 术 语 “ 安 全 
性 (safety)” 和 “保密 性 (security )” 就 是 这 种 新 术语 的 例子 。 为 此 ， 已 经 试图 对 此 领域 提 
出 的 基本 概念 建立 清楚 而 又 广泛 接受 的 定义 。 为 此 ， 引 入 了 可 依赖 性 (dependability) 的 概念 
(Laprie, 1985) (Laprie, 1995), 

KRG T RAMA RR RAE RA IRS AE AEE. PRET ol PERLE RT SEE. 
安全 性 和 保密 性 等 概念 作为 其 特殊 情况 。 图 5-9 以 Laprie (1995) 所 给 的 图 为 基础 ， 说 明了 这 
些 特性 和 可 依赖 性 的 其 他 方面 (这 里 认为 保密 性 是 完整 性 和 机 窗 性 )。 在 图 中 ， 可 靠 性 是 连续 
交付 正确 服务 的 测度 ; 可 用 性 是 不 正确 服务 周期 的 频率 的 测度 。 


可 依赖 性 


一 一 一 一 一 一 


易 用 性 服务 交付 。 ”不 出 现 不 出 现 信息 的 ”不 出 现 信息 的 进行 修复 和 
的 连续 性 ”灾难 后 果 非 授 权 泄 露 。 ”不 正确 交 赫 演化 的 能 力 


(1 | 1 | | 


可 用 性 可 靠 性 安全 性 机 密 性 完整 性 可 维护 性 





图 5-9 可 依赖 性 的 各 个 方面 


可 以 用 以 下 三 个 部 分 来 描述 可 依赖 性 (Laprie, 1995), 

* 损伤 一 一 由 不 可 依赖 性 产生 或 引起 的 情况 ; 

“ 手段 一 一 以 要 求 的 可 信和 度 交 付 可 信赖 的 服务 需要 的 方法 、 工 具 和 解决 方案 ; 
。 属 性 一 一 用 以 评价 可 信赖 服务 的 方法 和 测度 。 

图 5-10 按 这 三 个 部 分 概括 了 可 依赖 性 的 概念 。 
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可 用 性 
可 靠 性 
安全 性 
属性 机 密 性 
完整 性 
可 维护 性 





可 依赖 性 
故障 预防 
容错 
故障 排除 
cR UR 


TÉ 


错误 
失效 
图 5-10 可 依赖 性 术语 
尽管 对 可 依赖 性 这 个 术语 有 某 种 一 致意 见 ， 但 离 一 致 同意 还 差 得 很 远 ， 所 以 这 个 术语 还 
在 提炼 之 中 。 因 此 本 书 将 继续 使 用 本 章 主 体 部 分 使 用 的 那些 已 经 确定 的 名 称 ， i 
小 结 


损伤 


本 章 把 可 靠 性 确定 为 任何 实时 系统 的 主要 需求 。 把 系统 的 可 靠 性 定义 为 系统 关于 其 行为 
的 权威 性 规格 说 明 的 符合 程度 的 度量 。 当 系统 行为 偏离 了 为 它 规定 的 行为 时 ， 就 称 作 失 效 。 
和 失效 是 由 故障 引起 的 。 把 故障 引入 到 系统 中 可 以 是 有 意 的 或 是 意外 的 。 故 障 可 能 是 瞬时 的 、 
永久 的 或 间歇 的 。 

有 两 种 帮助 确保 法 在 的 故障 不 引起 系统 失效 的 系统 设计 方法 :故障 预防 和 容错 。 故 障 预 
防 由 故障 回避 (试图 限制 在 系统 中 引入 有 故障 的 部 件 ) 和 故障 排除 (找到 并 排除 故障 的 过 程 ) 
两 部 分 组 成 。 容 错 包括 在 系统 中 引入 元 余部 件 以 便 可 以 检测 故障 和 容错 。 通 常 系统 会 提供 完 
金 容错 、 性 能 降低 或 故障 保护 这 三 种 行为 。 

本 章 还 讨论 了 软件 容错 的 两 种 普遍 方法 : N 版 本 程序 设计 (HALTA) 和 使 用 向 前 和 向 后 


出 错 恢复 的 动态 元 余 。N 版 本 程序 设计 定义 为 从 同一 初始 规格 说 明 独 立地 产生 N 个 (这 里 N 大 129 


于 或 等 于 2) 功能 上 等 价 的 程序 。 一 旦 设计 并 且 编写 完成 ， 这 N 个 程序 就 以 相同 的 输入 并 发 地 1 


执行 并 且 比较 它们 的 结果 。 原 则 上 这 些 结果 应 该 是 相同 的 ， 但 实际 中 它们 可 能 有 差别 ， 在 这 
种 情况 下 认为 一 致 的 结果 (假定 有 一 个 ) 是 正确 的 。N 版 本 程序 设计 基于 如 下 假设 ， 能 够 完全 
地 、 一 致 地 并 且 无 歧义 地 指定 一 个 程序 并 且 独 立 开发 的 程序 独立 地 失效 。 这 些 假设 并 不 是 总 
是 有 效 ， 虽 然 N 版 本 程序 设计 在 生产 可 靠 的 软件 中 可 能 有 其 作用 ， 但 应 该 小 心地 使 用 它 ， 并 且 
连同 基于 动态 元 余 的 其 他 技术 一 起 使 用 。 


30 
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动态 元 余 技 术 有 四 个 组 成 阶段 : 出错 检测 、 损 害 隔 离 和 评估 、 出 错 恢复 以 及 故障 处 理 和 
继续 服务 。 作 为 一 种 有 助 于 损害 隔离 的 结构 化 技术 ， 本 章 还 引入 了 原子 动作 的 概念 。 一 个 最 
重要 的 阶段 是 出 错 恢复 ， 已 经 建议 了 两 种 方法 : 向 后 恢复 和 向 前 恢复 。 为 了 使 相互 通信 的 进 
程 达到 一 致 的 恢复 点 以 避免 多 米 诺 效应 ， 使 用 向 后 恢复 是 必要 的 。 对 于 顺序 系统 ， 把 恢复 块 
作为 适当 的 语言 概念 引入 以 表达 向 后 恢复 。 恢 复 块 就 是 一 般 程序 设计 语言 意义 上 的 块 ， 不 同 
的 是 在 块 的 入 口 有 一 个 自动 的 恢复 点 ， 并 且 在 出 口 处 有 一 个 接受 测试 。 接 受 测 试 常用 来 测试 
在 主 模 块 执行 后 系统 是 否 处 于 可 接受 的 状态 。 接 受 测试 的 失败 会 导致 程序 恢复 到 块 起 点 上 的 
恢复 点 并 执行 灰 代 模块 。 如 果 替 代 模 块 的 接受 测试 也 失败 了 ， 那 么 程序 又 一 次 恢复 到 恢复 点 
并 且 还 要 执行 另 一 个 模块 ， 如 此 类 推 。 如 果 所 有 的 模块 都 失效 了 ， 那 么 这 个 恢复 块 就 失效 了 。 
N 版 本 程序 设计 和 恢复 块 之 间 的 比较 说 明了 两 种 方法 的 相同 点 和 不 同 点 。 

虽然 向 前 恢复 是 系统 专用 的 ， 但 是 异常 处 理 被 证 明 是 实现 向 前 恢复 的 合适 框架 。 本 章 还 
介绍 了 一 个 使 用 异常 的 理想 容错 部 件 的 概念 。 

在 本 音 的 最 后 ， 介 绍 了 软件 安全 性 和 可 依赖 性 的 概念 。 
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练习 


5.1 如 果 程 序 的 行为 符合 一 个 有 错误 的 规格 说 明 ， 那 么 这 个 程序 是 可 靠 的 吗 ? 

5.2 对 计算 机 控制 汽车 来 说 ， 什 么 是 降级 服务 的 合适 的 标准 ? 

53 写 出 对 整数 数组 排序 的 恢复 块 。 

54 可 以 在 运行 时 检测 恢复 线 到 什么 程度 ? (参见 Anderson and Lee (1990)， 第 7 章 ) 


95 图 5-11 说 明了 四 个 通信 进程 (Pl1，P2，P3 和 P4) 的 并 发 执行 过 程 和 它们 相关 的 恢复 点 (Gat 
如 ，R11 是 进程 PI 的 第 一 个 恢复 点 )。 解释 由 
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(1) 进程 P1 在 时 刻 t 
(2) 进程 P2 在 时 刻 t 
检测 到 错误 时 会 发 生 什么 ? 


0 


R11 R21 R31 Rat 
e» em» 









时 间 
一》 
i | 符号 表示 : RII 
| | 恢复 点 
+ vy Se 
PY P2 P3 P4 < 一 进程 问 通信 


图 5-11 练习 5.5 四 个 进程 的 并 发 执行 


5.6 当 顺 序 读 取 文 件 时 出 现 的 文件 结束 状态 是 否 应 该 作为 异常 来 通知 程序 员 ? 

5.7 数据 多 样 性 是 补充 设计 多 样 性 的 一 种 容错 策略 。 在 什么 情况 下 数据 多 样 性 比 设计 多 样 性 更 
合适 ? (提示 : 参见 参考 文献 [Ammann and Knight (1998) ]) 

5.8 系统 的 可 依赖 性 是 否 应 该 由 独立 的 评估 员 来 评判 ? 








6.1 老式 实时 语言 中 的 异常 处 理 6.5 恢复 块 和 异常 
6.2 现代 异常 处 理 小 结 

6.3 Ada、Java 和 C 中 的 异常 处 理 相关 阅读 材料 

6.4 其 他 语言 中 的 异常 处 理 练习 


第 5 章 研 究 了 怎样 才能 使 系统 更 加 可 靠 ， 并 将 异常 作为 实现 软件 容错 的 框架 做 了 介绍 。 本 
章 更 详细 地 研究 异常 和 异常 处 理 ， 并 讨论 它们 在 各 种 具体 实时 编程 语言 中 的 情况 。 

对 于 异常 处 理 设施 有 若干 一 般 需求 : 

(R1) 像 所 有 语言 特征 一 样 ， 这 种 设施 理解 和 使 用 起 来 必须 简单 。 

(R2) 异常 处 理 代码 不 应 过 分 突出 ， 以 致 模糊 了 对 程序 的 正常 无 错 运行 的 理解 。 那 种 将 正 
常 处 理 代码 和 异常 处 理 代码 混合 到 一 起 的 机 制 是 难于 理解 和 维护 的 ， 它 很 可 能 导致 不 太 可 靠 
-的 系统 。 

(R3) 这 种 机 制 应 被 设计 得 只 在 处 理 异 常 时 才 会 有 运行 时 开销 。 虽 然 大 部 分 应 用 要 求 使 用 
异常 的 程序 的 性 能 在 正常 操作 状态 下 没有 不 利 的 影响 ， 但 并 不 总 是 这 样 。 在 某 些 情况 下 ， 特 
别 是 恢复 速度 具有 根本 重要 性 的 情况 下 ， 应 用 可 能 只 能 容忍 在 正常 无 错 运行 时 的 很 少 的 开销 。 

(R4) 这 种 机 制 应 当 能 够 统一 处 理由 环境 和 由 程序 检测 到 的 异常 。 例 如 ， 像 运算 滋 出 
(arithmetic overflow) 这 种 由 硬件 检测 的 异常 和 程序 的 断言 失败 引发 的 异常 应 当 以 相同 的 方式 
处 理 。 

(R5) 如 在 第 5 章 中 提 到 过 的 ， 这 种 异常 机 制 应 使 恢复 动作 可 被 编程 。 


6.1 老式 实时 语言 中 的 异常 处 理 


虽然 “异常 ”和 “异常 处 理 ” 这 些 术语 只 在 最 近 才 流行 ， 但 它们 只 不 过 表达 了 -一 种 试图 
容许 并 处 理 出 错 情况 的 编程 方法 。 所 以 ， 大 多 数 编程 语言 都 有 能 够 至 少 处 理 某 些 异常 的 设施 . 
本 节 简 明 地 按 上 面 设 定 的 需求 评估 这 些 设施 。 
6.1.1 反常 返回 值 


有 异常 处 理 机 制 的 一 种 最 基本 形式 是 来 自 过 程 或 函数 的 反常 返回 值 或 出 错 返 回 。 它 的 主要 
优点 是 简单 ， 并 且 实 现 起 来 不 需要 任何 新 的 语言 机 制 。C 支 持 这 种 方法 ， 其 典型 用 法 如 下 : 
if (HRH (参数 ) == AN_ERROR) { 
/* 出 错 处 理 代码 */ 
} else { 
/* 正常 返回 代码 */ 
}; 


可 见 ， 虽 然 它 满足 简单 性 需求 R1， 并 使 恢复 动作 可 被 编程 (R5) ， 却 不 满足 R2、R3 和 R4 
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代码 是 突出 的 ， 每 次 使 用 时 都 产生 开销 ， 并 且 不 清楚 怎样 处 理 环境 检测 到 的 错误 。 

在 本 书 中 ，C 是 同 POSIX 联 合 使 用 的 。POSIX 的 出 错 状态 是 由 非 零 返回 值 指示 的 (还 带 有 
符号 名 )。 为 了 可 靠 性 ， 对 系统 功能 的 每 个 调用 应 该 检验 返回 值 ， 以 确保 没有 非 预期 错误 发 生 。 
然而 ， 如 上 面 说 明 的 ， 这 可 能 使 代码 结构 含糊 。 所 以 为 教学 目的 ， 本 书 使 用 POSIX 风 格 的 接 
口 。 对 于 每 个 POSIX 系 统 调用 ， 假 设 有 一 个 已 经 定义 的 宏 进行 出 错 检查 。 例 如 ， 一 个 名 为 
sys_call 的 系统 调用 ( 它 有 一 个 参数 ) 有 如 下 的 自动 定义 的 宏 : 

f define SYS CALL (A) if (sys call (A) != 0) error () 

其 中 error 是 进行 出 错 处 理 的 函数 ， 所 以 ， 所 示 代 码 就 是 SYS_CALL (param). 
6.1.2 强迫 性 分 支 

在 汇编 语言 中 ， 异 常 处 理 的 典型 机 制 是 子 例 程 的 跳 返 回 (skip return)。 换 句 话说， 直接 
跟 在 子 例 程 调用 后 面 的 指令 被 跳 过 ， 这 用 以 指出 错误 的 出 现 (或 不 出 现 )。 做 到 这 一 点 的 办 法 
是 子 例 程 给 其 返回 地 址 (程序 计数 器 ) 增加 简单 跳 传 指 令 的 长 度 ， 以 指出 无 错 CHER) XR GI. 
在 可 能 有 一 个 以 上 的 异常 性 返回 的 时 候 ， 子 例 程 假设 调用 者 在 其 调用 的 后 面 有 一 个 以 上 的 跳 
传 指令 ， 并 相应 地 处 理 程序 计数 器 。 

例如 ,假设 两 个 可 能 的 出 错 状态 ， 可 用 下 面 的 代码 调用 一 个 子 例 程 ， 它 向 设备 输出 字符 。 

jsr pc, PRINT CHAR 

jmp IO ERROR 


jmp DEVICE NOT ENABLED 
# 正常 处 理 


对 于 正常 返回 的 子 例 程 ， 将 使 返回 地 址 增加 两 个 jmp 指 令 。 
虽然 这 种 方法 带 来 的 开销 小 (R3 ) ， 并 使 恢复 动作 可 被 编程 (R5)， 它 却 可 能 导致 程序 结 
构 含糊 ， 因 而 破坏 R1 和 R2 需 求 ，R4 也 可 能 不 满足 。 
6.1.3 非 局 部 goto 
有 强迫 转移 的 高 级 语言 版 本 可 能 8 需要 把 不 同 的 标号 作为 参数 传递 给 过 程 或 者 有 一 些 标准 
标号 变量 (标号 变量 是 可 以 赋 以 程序 地 址 的 对 象 ， 并 可 用 于 传输 控制 )。RTL/2 是 一 个 早期 实 
时 语言 的 例子 ， 它 以 非 局 部 goto 的 形式 提供 后 一 一 种 设施 。RTL/2 使 用 砖 块 (brick) 构造 其 程 
序 : 砖 块 可 以 是 数据 (由 关键 字 data enddata 包 住 )、 过 程 (由 proc endproc 包 住 ) 或 
栈 (由 stack 关 键 字 标识 )。 系统 定义 的 数据 砖 块 的 专门 类 型 叫做 svc 数 据 。 有 一 个 砖 块 
(rrerr) 提供 标准 的 出 错 处 理 设施 ， 它 包含 一 个 错误 标号 变量 ， 名 为 er1。 
下 面 的 例子 说 明 RTL/2 如 何 使 用 错误 标号 。 
svc data rrerr 
label erl; % 一 个 标号 变量 % 
enddata 
proc WhereErrorIsDetected (); 
goto erl; 
endproc; 


proc Caller (); 
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WhereErrorIsDetected (); 


endproc; 


proc main (); 


restart: 


erl := restart; 
Caller (); 
end proc; 


注意 ， 当 以 这 种 方式 使 用 时 ，goto 就 不 止 是 跳 传 ， 它 隐 含 着 从 过 程 的 非 正常 返回 。 所 以 ， 
楼 必须 延伸 到 恢复 的 环境 一 -就 是 包含 该 标号 的 声明 的 那个 过 程 的 环境 。 栈 延伸 的 不 利 后 果 
只 在 发 生 错误 时 才 会 有 ， 所 以 满足 了 需求 R3。 虽 然 goto 的 使 用 很 灵活 (满足 R4 和 R5)， 但 它 
们 可 能 导致 很 含糊 的 程序 ， 所 以 不 满足 R1 和 R2。 
6.1.4 过 程 变量 

虽然 RTL/2 的 例子 说 明了 怎样 使 用 错误 标号 进行 出 错 恢复 , 但 程序 的 控制 流 已 经 给 破坏 了 。 
在 RTL/2 中 ， 错 误 标 号 通常 用 于 不 可 恢复 的 出 错 ， 而 在 控制 应 当 返 回 到 出 错 点 的 时 候 使 用 出 错 
it 42 RF (error procedure variable )。 下 面 的 例子 说 明了 这 个 方法 。 

svc data rrerr; 


label erl; 


proc (int) erp; $ erp 是 一 个 过 程 变量 $ 
enddata; 


proc recover (int); 


endproc; 
proc WhereErrorIsDetected 0; 
if recoverable then 
erp (n) 
else 
goto erl 
end; 138 
endproc; 


proc Caller (); 
WhereErrorIsDetected O0: 


endproc; 


proc main (); 
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erl := fail; 


erp := recover; 
Caller (); 
fail: 


end proc; 
对 这 种 方法 的 主要 批评 也 是 程序 变 得 非常 难以 理解 和 维护 。 
6.2 现代 异常 处 理 


异常 处 理 的 传统 方法 常常 导致 处 理 代码 同 程序 的 正常 执行 流 混杂 在 一 起 。 现 代 方 法 是 直 
接 在 语言 中 引进 异常 处 理 设施 ， 因 而 提供 更 加 结构 化 的 异常 处 理 机 制 。 这 些 设施 的 确切 特性 
因 语 言 而 异 ， 然 而 能 够 识别 出 若干 共同 点 。 下 面 几 小 节 讨 论 它们 。 
6.2.1 异常 及 其 表示 

在 5.5.1 节 提 到 有 两 类 错误 检测 技术 : 环境 检测 和 应 用 检测 。 还 有 ， 依 赖 于 检测 错误 的 延 
时 ， 可 能 有 必要 同步 地 引发 异常 或 异步 地 引发 异常 。 同 步 异 常 是 由 代码 段 试图 执行 不 合适 操 
作 引 起 的 立即 后 果 ; 异步 异常 是 在 导致 错误 发 生 的 操作 之 后 的 某 个 时 间 引发 的 。 异 常 可 以 在 
原来 执行 这 个 操作 的 进程 中 引发 ， 也 可 以 是 在 其 他 进程 中 引发 。 因 此 有 四 类 异常 : 

1) 由 环境 检测 并 同步 引发 的 异常 一 -数组 界 破坏 和 零 做 除数 是 这 种 异常 的 例子 。 

2) 由 应 用 检测 并 同步 引发 的 异常 一 例如， 程序 定义 的 断言 检查 失败 。 

3) 由 环境 检测 并 异步 引发 的 异常 一 -由 供电 失败 或 某 些 健康 监控 机 制 失败 引发 的 异常。 

4) 由 应 用 检测 并 异步 引发 的 异常 一 例如 ， 一 个 进程 识别 到 出 现 了 一 个 出 错 状 态 ， 它 将 
导致 另 一 进程 不 满足 其 时 限 或 不 能 正确 终止 。 

异步 异常 通常 称 为 异步 通知 或 信号 ， 并 经 常 是 在 并 发 编程 的 上 下 文中 研究 它 。 所 以 ,本 
章 将 关注 同步 异常 处 理 ， 而 把 异步 异常 处 理 的 问题 留 到 第 10 章 。 

关于 同步 异常 ， 它 们 的 声明 有 几 个 模型 。 例 如 ， 它 们 可 以 被 看 作 : 

“常量 名 字 ， 需 要 显 式 声 明 

“ 特定 类 型 的 对 象 ， 它 们 可 能 需要 也 可 能 不 需要 显 式 声明 

Ada 要 求 异 常 像 常量 一 样 声 明 ， 例 如 ， 可 由 Ada 运 行 时 环境 引发 的 异常 是 在 包 standard 
中 声明 的 : 


package Standard is 


Constraint_Error : exception; 


Program Error  : exception; 
Storage Error : exception; 
Tasking Error : exception; 


end Standard; 
这 个 包 对 所 有 Ada 程 序 都 是 可 见 的 。 
Tava 和 C++ 对 异常 采用 一 种 更 加 面向 对 象 的 观点 。 在 Java 中 ， 异 常 是 Throwable 类 的 子 
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类 的 对 象 。 它 们 可 由 运行 时 系统 和 应 用 抛 出 (Thrown) ( 见 6.3.2 节 )。 在 C++ 中 ， 任 何 对 象 类 
型 的 异常 都 可 被 抛 出 而 无 须 事先 声明 。 
6.2.2 异常 处 理 程序 的 定义 域 

在 程序 中 ， 对 一 个 具体 异常 可 能 有 若干 处 理 程序 。 同 每 个 处 理 程序 相关 联 的 是 定义 域 ， 它 
指明 一 个 计算 区 域 ， 在 这 个 计算 区 域 出 现 异 常 时 ， 就 激活 这 个 处 理 程序 。 规 定 定义 域 的 准确 度 
将 决定 异常 源 可 被 定位 的 精确 性 。 在 像 Ada 这 样 的 块 结构 语言 中 ， 这 个 定义 域 通常 就 是 块 。 例 
如 ， 考 虑 一 个 温度 传感器 ， 它 的 值 应 当 在 0 ~ 100°C 之 间 。 下 面 的 Ada 块 定义 温度 是 0 ~ 100 之 间 


的 一 个 整数 。 如 果 计 算出 的 值 落 在 此 范围 之 外 ，Ada 的 运行 时 支持 程序 引发 Constraint_ 


Error 异 常 。 对 相关 处 理 程序 的 调用 使 得 能 执行 必要 的 改正 动作 。 
declare 
subtype Temperature is Integer range 0 .. 100; 
begin 
-- Wen (eee ELSE ENTE 
exception 
-- Constraint_Error 的 处 理 程序 
end; 


Ada 细 市 将 会 在 稍 后 给 出 。 

在 以 块 作为 基础 的 其 他 单元 (例如 过 程 和 函数 ) 里 ， 异 常 处 理 程序 的 定义 域 通常 就 是 那 
种 单元 。 

在 其 他 语言 中 ， 如 Java、C++ 和 Modula-3 中 ， 不 是 所 有 的 块 都 能 有 异常 处 理 程序 。 异 常 处 
理 程序 的 定义 域 是 必须 显 式 指出 的 ， 并 且 这 种 块 被 认为 是 要 守备 的 (guarded )， 在 Java 中 是 用 
“try 块 ”做 这 件 事 : 

try { 

// 可 能 引发 异常 的 语句 
watch (ExceptionType e) ( 


// e 的 处 理 程序 
} 


因为 异常 处 理 程序 的 定义 域 规定 了 错误 能 被 精确 定位 到 什么 程度 ， 可 能 会 有 争论 说 块 的 
粒度 不 够 。 例 如 ， 考 虑 如 下 的 计算 序列 ， 其 中 的 每 一 个 都 可 能 引发 Constraint_Error。 
declare 
subtype Temperature is Integer range 0.. 100; 
subtype Pressure is Integer range 0 .. 50; 
subtype Flow is Integer range 0 .. 200; 
begin 
-- 读 温 度 传 感 器 并 计算 它 的 值 
-- 读 压 力 传感器 并 计算 它 的 倩 
-- 读 水 流传 感 器 并 计算 它 的 值 
-~ TRE Re. AD Rk ie 
exception 


-- Constraint_Error 的 处 理 程序 
end; 
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该 处 理 程序 的 问题 是 判断 哪个 计算 引起 了 蜡 常 的 引发 。 在 可 能 出 现 运算 上 溢 和 下 溢 的 时 候 又 
引发 进一步 的 困难 。 

在 基于 块 的 异常 处 理 程序 定义 域 中 ， 这 个 问题 的 一 个 解决 方案 是 减少 块 的 大 小 和 /或 能 套 
它们 。 用 传感器 的 例子 : 


declare 
subtype Temperature is Integer range 0 .. 100; 
subtype Pressure is Integer range 0 .. 50; 
subtype Flow is Integer range 0 .. 200; 
begin 
begin 
-- 读 温 度 传感器 开 计 算 它 的 值 
exception 
-- 温度 的 Constraint_Error 的 处 理 程序 
end; 
begin 
-- 读 压 力 传感器 并 计算 它 的 值 
exception 
-- 盯 力 的 Constraint_Error 的 处 理 程序 
end; 
begin 
-- 读 水 流传 感 器 并 计算 它 的 值 
exception 


-~ 水 流 的 Constraint_Error 的 处 理 程序 


end; 


-- 按照 需求 调整 温度 、 压 力 和 水 流 


exception 
-- 其 他 可 能 异常 的 处 理 程序 


end; 


力 一 种 办 法 是 可 为 每 一 个 由 套 的 块 创建 包含 处 理 程序 的 过 程 。 然 而 ， 不 管 哪 种 情况 ， 这 
部 可 能 变 得 元 长 乏味 。 另 一 个 解决 方案 是 允许 异常 在 语句 级 处 理 。 用 这 种 方法 ， 上 述 例子 可 
重 写 成 这 样 : 
-~ 不 合法 的 .Ada 程序 
declare 
subtype Temperature is Integer range 0 . . 100; 
Subtype Pressure is Integer range 0 .. 50; 
Subtype Flow is Integer range 0 .. 200; 
begin 
Read Temperature Sensor; 
exception -- Constraint_Error 的 处 理 程序 ; 


Read_Pressure Sensor; 
exception -- Constraint_Error 的 处 理 程序 ; 


Read Flow Sensor; 


exception -- Constraint_Error 的 处 理 程序 ; 
~- 按 轨 需求 调整 温度 、 压 力 和 水 流 


end; 
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CHILL 编 程 语言 (CCITT, 1980) 有 这 种 设施 。 虽 然 这 能 使 引发 异常 的 原因 被 更 精确 地 定位 ， 
但 是 ， 它 却 将 异常 处 理 代码 同 正常 操作 流 混杂 在 一 起 ， 它 可 能 产生 不 够 清晰 的 程序 并 破坏 了 
需求 R2 (在 本 章 开始 处 给 出 的 )。 

对 此 问题 的 建议 方法 是 使 参数 能 同 异常 一 起 传递 。 这 在 Java 里 是 自动 的 , 因为 异常 是 对 象 ， 
所 以 可 以 包含 程序 员 希 望 的 诸多 信息 。 相 比 之 下 ，Ada 提 供 一 个 预定 义 过 程 Exception_ 
Information， 它 返回 有 关 异 常 这 次 出 现 的 、 由 实现 定义 的 细节 。 

6.2.3 异常 传播 

间 异 常 定义 域 概念 密切 相关 的 是 异常 传播 的 概念 。 我 们 的 讨论 一 直 都 隐 含 着 一 个 假设 : 
如 果 块 或 过 程 引 发 了 一 个 异常 ， 那 么 在 那个 块 或 过 程 中 有 一 个 相关 联 的 处 理 程序 。 然 而 ， 情 
况 可 能 不 是 这 样 ， 并 且 有 两 种 可 能 的 方法 处 理 不 能 找到 直接 的 异常 处 理 程序 的 情况 。 

第 一 种 方法 是 将 处 理 程序 的 缺失 看 成 程序 员 错 误 ， 应 在 编译 时 报告 。 然 而 ， 常 常 有 这 种 
情况 : 在 一 个 过 程 中 引发 的 异常 只 能 在 调用 此 过 程 的 上 下 文中 处 理 。 在 这 种 情况 下 ， 不 可 能 
使 处 理 程序 位 于 这 个 过 程 中 。 例 如 ， 由 于 过 程 的 参数 问题 使 一 个 断言 失败 所 引发 的 异常 ， 只 
能 在 进行 调用 的 上 下 文中 处 理 。 令 人 遗憾 的 是 ， 编 译 器 不 总 是 能 够 检查 发 出 调用 的 上 下 文 是 
否 包含 有 合适 的 异常 处 理 程序 ， 因 为 这 可 能 需要 复杂 的 流 控制 分 析 。 这 在 一 个 过 程 调 用 了 其 
他 也 可 能 引发 异常 的 过 程 时 尤其 困难 。 所 以 ， 那 种 要 求 为 这 种 情况 生成 编译 报错 的 语言 需要 
过 程 指 明 它 可 能 引发 哪些 异常 ( 即 ， 未 局 部 处 理 的 异常 )。 这 样 ， 编 译 器 就 能 检查 发 出 调用 的 
上 下 文 是 否 有 合适 的 处 理 程序 并 在 必要 时 生成 所 需 的 出 错 消 息 。 这 是 CHILL 语 言 采 用 的 方法 。 
Java 和 C++ 使 函数 能 够 定义 它 可 能 引发 的 异常 。 然 而 ， 与 CHILL 不 同 ， 它 们 不 要 求 在 发 出 调用 
的 上 下 文中 有 可 用 的 处 理 程序 。 

当 不 能 找到 一 个 异常 的 局 部 处 理 程序 时 可 采用 的 第 二 种 方法 ， 是 在 运行 时 搜寻 调用 者 链 
以 寻找 处 理 程序 ， 这 称 为 异常 传播 。Ada 和 Java 人 允许 异常 传播 ，C++ 和 Modula 2/3 也 这 样 做 。 

当 语言 要 求 声明 异常 并 因此 给 定 作用 域 的 时 候 ， 关 于 异常 传播 就 出 现 了 一 个 潜在 的 问题 。 
在 某 些 情况 下 ， 一 个 异常 可 能 被 传播 出 它 的 作用 域 ， 因 而 不 可 能 找到 其 处 理 程序 。 为 对 付 这 
种 情况 ， 大 多 数 语言 提供 了 一 种 “捕获 所 有 的 ”(catch all) 异常 处 理 程序 。 这 种 处 理 程序 还 
被 用 于 避免 程序 员 枚 举 许多 异常 名 字 。 

一 个 未 处 理 的 异常 引起 一 个 顺序 程序 的 中 止 。 如 果 程 序 包含 一 个 以 上 的 进程 ， 而 一 个 特 
定 进程 没有 处 理 它 引 发 的 异常 ， 那 么 通常 这 个 进程 被 中 止 。 然 而 ， 并 不 清楚 该 异常 是 否 应 当 
传播 到 父 进程 。 多 进程 程序 中 的 异常 问题 将 在 第 10 章 详细 研究 。 

研究 异常 传播 问题 的 另 一 种 方式 是 按 处 理 程序 是 静态 地 还 是 动态 地 同 此 异常 相关 联 。 静 
态 关 联 ， 如 在 CHILL 中 那样 ， 是 在 编译 时 进行 的 ， 所 以 不 能 允许 传播 ， 因 为 调用 者 链 是 未 知 
的 。 动 态 关 联 是 在 运行 时 进行 的 ， 所 以 能 够 允许 传播 。 虽 然 动态 关联 更 灵活 ， 但 由 于 要 搜索 
处 理 程序 会 导致 更 多 运行 开销 ; 用 静态 关联 ， 可 以 生成 一 个 编译 时 的 地 址 。 

6.2.4 恢复 模型 与 终止 模型 的 对 比 l 

在 任何 异常 处 理 设施 中 的 一 个 关键 考虑 因素 是 异常 的 调用 者 在 该 异 常 被 处 理 之 后 是 否 应 
当 继续 执行 。 如 果 调用 者 能 够 继续 ， 那 么 处 理 程序 就 有 可 能 解决 引起 异常 引发 的 问题 ， 日 调 
用 者 有 可 能 恢复 ， 就 像 什么 也 没有 发 生 一 样 。 这 被 称 为 恢复 (resumption) 或 通知 ( notify) 


模型。 控制 不 返回 给 调用 者 的 模型 称 为 终止 (termination) RAM (escape). 显然 可 能 有 这 
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样 一 个 模型 ， 处 理 程序 能 够 决定 是 恢复 引起 异常 的 操作 还 是 终止 这 个 操作 。 这 称 为 混合 模型 。 
1. 恢复 模型 
为 说 明 恢 复 模型 ， 考 虑 三 个 过 程 P、C 和 R。 过 程 P 调 用 Q，@ 又 调用 R。 过 程 R 引 发 一 个 异 
Air, CHOH (假设 在 中 没有 局 部 处 理 程序 )，r 的 处 理 程序 是 Hr。 在 处 理 r 期 间 ，Hr 引 发 
异常 9， 它 由 过 程 P (8 的 调用 者 ) 中 的 Hg 处理。 一 旦 4g 被 处 理 完毕 ，Hr 继 续 执行 ，Hr 完 成 后 R 
又 继续 执行 。 图 6-1 用 编号 为 1 至 6 的 弧 图 形 化 地 表示 了 这 个 事件 序列 。 


Hr 引发 异常 q 


E R 引发 异常 r 
3 





图 6-1 恢复 模型 


通过 将 处 理 程 序 看 成 一 个 隐 式 过 程 (在 异常 被 引发 时 就 调用 它 )， 恢 复 模型 是 最 容易 理 
解 的 。 : 

这 个 方法 的 问题 是 经 常 难以 修复 由 运行 环境 引发 的 错误 。 例如 , 在 复杂 表达 式 序列 的 中 
间 出 现 的 运算 溢出 可 能 使 若干 寄存 器 含有 部 分 求 值 结果 。 由 于 调用 了 处 理 程序 ， 这 些 寄存 器 
可 能 被 写 覆 盖 。 

Pearl 和 Mesa 语 言 都 提供 这 样 一 种 机 制 : 处 理 程序 能 够 返回 到 引发 异常 的 上 下 文 。 两 个 语 
言 也 支持 终止 模型 。 

虽然 实现 严格 的 恢复 模型 是 困难 的 ， 但 折 囊 方案 是 再 次 执行 同 异常 处 理 程序 相关 联 的 块 。 
Eiffel 语言 (Meyer, 1992) 提供 这 样 的 设施 ， 称 为 重 试 (retry )， 作 为 异常 处 理 模 型 的 一 部 分 。 
处 理 程序 能 够 设置 一 个 局 部 标志 ， 用 以 指出 错误 已 经 出 现 ， 并 且 这 个 块 能 测试 这 个 标志 。 注 
意 ， 为 使 这 种 方案 工作 ， 这 个 块 的 局 部 变量 在 重 试 时 不 得 被 再 次 初始 化 。 
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恢复 模型 的 优点 是 ， 当 异常 已 经 被 异步 地 引发 时 ， 当 前 进程 执行 几乎 不 做 什么 事 。 异 步 
事件 处 理 在 10.5 市 详细 讨论 。 
2. 终止 模型 
在 终止 模型 中 ， 在 引发 异常 并 且 调 用 了 处 理 程 序 的 时 候 ， 控 制 不 返回 到 发 生 异 常 的 那 一 
点 。 包 含 处 理 程序 的 块 或 过 程 被 终止 ， 控 制 转移 到 发 出 调用 的 块 或 过 程 上 。 所 以 ， 被 调用 的 
过 程 可 以 以 几 种 状态 终止 。 其 中 之 一 是 正常 状态 ， 其 他 的 是 异常 状态 。 144 
当 处 理 程序 是 在 一 个 块 结构 里 面 的 时 候 ， 在 异常 被 处 理 之 后 ， 控 制 转移 到 跟 在 那个 块 之 |145 
后 的 第 一 个 语句 ， 如 下 例 所 示 。 
declare 


subtype Temperature is Integer range 0..100; 
begin 
begin 
-- 污 温 度 传感器 并 计算 它 的 值 ， 
-- 可 能 导 敏 引发 一 个 异 党 
exception 
-- 湿度 的 Constraint_Error 的 处 理 程序 
-- 一 处 理 完 就 终止 这 个 块 
end; 
-- 当 这 个 块 正常 退出 时 或 当 引 发 一 个 异常 并 已 经 处 理 时 
-- 执行 这 里 的 代码 
exception 
-- 其 他 可 能 的 异常 的 处 理 程序 
end; 
对 过 程 来 说 , 同 块 相反 ,控制 流 可 以 十 分 戏剧 性 地 改变 ， 如 图 6-2 所 示 。 过 程 P 同 样 调用 @， 
Q 再 调用 R。 在 R 中 引发 的 异常 在 QO 中 得 到 处 理 。 
Ada、Java、C++、Modula-2/3 和 CHILL 都 有 具有 异常 处 理 的 终止 模型 。 
3. 混合 模型 
对 混合 模型 来 说 ， 由 处 理 程序 决定 错误 是 不 是 可 恢复 的 。 如 果 是 ， 处 理 程序 可 返回 一 个 
E. 并且 语 义 与 恢复 模型 相同 。 如 果 错 误 是 不 可 恢复 的 ， 调 用 者 被 终止 。Mesa 和 实时 Basic 
(Bull and Lewis, 1983) 的 信号 机 制 提供 这 种 设施 。 如 前 面 说 过 的 ，Eiffel] 也 支持 受 限 的 “ 重 
试 ”模型 。 
4. 异常 处 理 和 操作 系统 
在 许多 情况 下 ， 像 Ada 或 Java 这 样 的 语言 的 程序 是 在 诸如 POSIX 或 NT 之 类 的 操作 系统 上 执 
行 的 。 这 些 系统 将 检测 某 些 同步 出 错 状态 ， 例 如 ， 存 储 器 破坏 或 非法 指令 。 一 般 这 会 导致 正 
在 执行 的 进程 被 终止 。 然 而 ， 许 多 系统 允许 程序 员 去 尝试 出 错 恢复 。 例 如 ，POSIX 支 持 的 恢 
复 模型 允许 程序 员 通 过 将 处 理 程序 同 异 常 关 联 起 来 去 处 理 这 些 同步 异常 (经 由 POSIX 中 的 信 
号 )。 当 系统 检测 到 这 些 出 错 状态 时 ， 就 调用 这 种 处 理 程序 。 一 旦 处 理 程序 完成 ， 该 进程 就 在 
它 被 “中 断 ” 的 地 方 恢 复 一 一 所 以 POSIX 支 持 恢复 模型 。 
如 果 一 个 语言 支持 终止 模型 ， 那 么 ， 捕 获 出 错 并 对 程序 状态 进行 必要 处 理 就 是 那个 语言 
运行 时 支持 系统 的 责任 ， 以 使 程序 员 可 以 使 用 终止 模型 。 
在 第 10 章 中 将 详细 研究 POSIX 信 号 ， 因 为 它们 确实 是 异步 并 发 机 制 。 
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图 6-2 终止 模型 


6.3 Ada、Java 和 C 中 的 异常 处 理 


现在 研究 顺序 Ada、Java 和 C 中 的 异常 处 理 ， 三 种 语言 都 有 不 同 的 指导 思想 。 并 发 系统 中 
的 异常 处 理 将 在 第 10 章 中 描述 。 
6.3.1 Ada 


Ada 语 言 支持 显 式 异常 声明 、 带 有 未 处 理 异 常 传播 的 异常 处 理 终止 模型 以 及 有 限 形式 的 异 
常 参数 。 
1. 异常 声明 “ 
Ada 异 常 以 两 种 方式 声明 。 第 一 种 方式 与 常量 相同 ， 常量 的 类 型 由 关键 字 exception 定 义 。 
下 面 的 例子 声明 了 一 个 名 为 Stuck-Valve 的 异常: 


Stuck Valve: exception; 


3 —BO; e tE HUE X Ada .Exceptions ( 见 程序 6-1)， 它 定义 一 个 私有 类 型 叫做 
Exception Id, 使 用 关键 字 exception 声 明 的 每 个 异常 有 一 个 关联 的 Bxception ra; 使 
用 预定 义 属 性 Tdentify 可 得 到 它 。 上 面 给 定 的 Stuck_valve 异 常 的 身份 可 以 这 样 找到 : 

with Ada.Exceptions; 

with Valves; 

package My Exceptions is 

Id": Ada.Exceptions.Exception Id := 
Valves.Stuck_Valve' Identity; 
end My Exceptions; 
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这 里 假设 Stuck_valve 是 在 包 Valves 中 声明 的 。 注 意 , 现在 将 函数 Exception_. 
Name 应 用 到 Idq， 将 返回 字符 串 My_ExcepPtion.Id， 而 不 是 Stuck_Valve。 

异常 可 以 在 任何 其 他 声明 出 现 的 地 方 声 明 ， 并 且 像 其 他 声明 一 样 ， 有 作用 域 。 

语言 有 若干 标准 异常 ， 它 们 的 作用 域 是 整个 程序 。 这 些 异 常 可 由 语言 的 运行 时 支持 系统 
引发 ， 以 响应 某 种 出 错 状 态 。 它 们 包括 : 

*Constraint Error (约束 错 ) 

例如 ， 它 在 以 下 情况 被 引发 : 向 对 象 所 赋 的 值 在 其 声明 的 范围 之 外 ; 对 数组 的 访问 

超出 数组 界 ; 试图 用 空 指针 进行 访问 。 执 行 预定 义 的 数值 运算 不 能 交付 正确 结果 (在 实 

数 类 型 的 声明 准确 度 之 内 )， 也 引发 这 个 异常 ， 这 包括 以 零 做 除数 。 

*Storage Error (存储 错 ) 

当 动态 存储 分 配器 不 能 满足 存储 要 求 时 引发 此 异常 ， 因 为 机 器 的 物理 限制 存储 已 被 耗 尽 。 


程序 6-1 ®Ada.Exceptions 





Package Ada.Exceptions is 
type Exception Id is private; 
-- FEE A PIR IA 
Null Id : constant Exception Id; 
function Exception Name (Id : Exception Id) return String; 


-- 返回 那个 以 Exception _ Id 为 Ta 的 对 象 的 名 字 


type Exception Occurrence is limited private; 
-- 每 个 异常 出 现 有 一 个 相关 联 的 标识 多 
type Exception Occurrence Access is 
access all Exception_Occurrence; 


Null Occurrence : constant Exception_Occurrence; 


procedure Raise Exception (E : in Exception Id; 
Message : in String:- ""); 


-- 引发 异常 E 并 将 Message 同 该 异常 出 现 相关 联 


function Exception Message (X : Exception Occurrence) 
return String; 
-- 多 许 由 Raise_Exception 传 递 的 字符 串 可 在 此 处 理 程序 内 被 访问 ; 
-- 如 果 这 个 异常 是 由 引发 语句 引发 的 ， 
-- 该 字符 串 包含 有 关 此 异常 的 实现 定义 的 信息 


procedure Reraise Occurrence (X : in Exception Occurrence ) 


-- 再 次 引发 由 该 异常 出 现 参数 标识 的 异常 


function Exception Identity (X : Exception Occurrence) 
return Exception Id; 
~~ 返回 作为 参数 传递 的 异常 出 现 的 异常 标识 符 
function Exception Name (X : Exception Occurrence ) 


return String; 


-- 同 Exception Name (Exception Identity (X) ) 


function Exception Information (X : Exception Occurrence) 
return String; 


-- 同 Exception Message (X) , 但 包括 更 多 细节 ， 
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-- 如 朵 该 消息 来 自 实现 的 话 
procedure Save Occurrence (Target : out Exception Occurrence; 
Source : in Exception Occurrence); 
-- 人 允许 对 类 型 为 Bxception_ Occurrence 的 对 象 赋值 
function Save_Occurrence (Source : Exception Occurrence) 
return Exception_Occurrence_Access; 


-- 人 允许 对 类 型 为 Bxception_ Occurrence 的 对 象 赋值 


private 
-- 不 由 语言 规定 
end Ada.Exceptions; 





2. 引发 异常 
除 由 程序 执行 的 环境 引发 的 异常 之 外 ， 还 可 由 程序 使 用 raise 语 句 显 式 引 发 异常 。 下 面 
的 例子 引发 异常 To_Error ( 它 必须 已 先行 声明 ， 并 在 作用 域内 )， 如 果 一 个 1/0 请 求 产 生 了 
设备 错误 的 话 。 
begin 
~~ 请 求 -- 个 设备 执行 某 些 1/0 的 语句 
if Io_Device_In_Error then 


raise Io Error; 


end if; 


end; 


注意 该 if 语句 不 需要 else 部 分 ， 因为 控制 不 返回 到 跟 在 引发 语句 后 面 的 语句 。 

如 果 Io_Error 已 被 声明 为 一 个 Exception Id, 就 有 必要 使 用 过 程 Ada .Exceptions. 
Raise_Exception 引 发 该 异常 。 这 人 允许 将 一 个 文本 字符 串 作为 参数 传递 给 这 个 异常 。 

异常 的 每 个 引发 称 为 异常 出 现 (occurrence), 并 被 表示 为 Ada .Exceptions ,Exception 
Occurrence 类 型 的 值 。 当 异常 被 处 理 时 ， 就 可 找到 Exception_Occurrence 的 值 ， 并 用 于 确 
定 有 关 蜡 常 原因 的 更 多 信息 。 

3. 异常 处 理 

如 第 3 章 所 示 ，Ada 中 的 每 个 块 (每 个 子 程序 、 接 受 语句 或 任务 ) 可 以 包括 一 个 可 选 的 异 
常 处 理 程序 的 集合 ， 在 块 或 子 程序 、 接受 语句 或 任务 的 末尾 声明 它们 。 每 个 异常 处 理 程序 是 
一 个 语句 序列 。 引 导 这 个 序列 的 是 : 关键 字 when， 一 个 可 选 的 参数 〈 将 对 它 赋 以 异常 出 现 的 
身份 )， 处 理 程序 为 之 服务 的 异常 的 名 字 和 符号 =>。 例 如 ， 下 面 的 块 声明 了 三 个 异常 并 提供 两 
个 处 理 程 序 : 


declare 
Sensor High, Sensor Low, Sensor Dead : exception; 
-- 其 他 声明 

begin 
-~ 可 能 引起 上 述 异 常 被 引发 的 语句 

exception 


when E: Sensor High | Sensor Low => 
-- 如 果 引 发 了 Sensor High 或 Sensor_Low， 采 取 菜 些 矫正 动作 
-- E 包括 异常 出 现 
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when Sensor_Dead => 
-- Av RUETsWSensor Dead, MME 

end; 

为 避免 枚 举 所 有 可 能 的 异常 名 字 ，Ada 提 供 了 一 个 when others 处 理 程序 名 字 。 这 允许 
作为 最 后 的 异常 处 理 选择 并 代表 在 当前 处 理 程序 集合 中 前 面 没有 列 出 的 所 有 蜡 常 。 例 如 ， 下 
面 的 块 打印 出 关于 异常 的 信息 ， 并 在 引发 除 Sensor_Low 或 Sensor_High 之 外 的 任何 异常 
(包括 Sensor_Dead) 时 响 一 次 警 铃 。 

declare 

Sensor High, Sensor Low, Sensor Dead : exception; 
-- 其 他 声明 
use Text Io; 
begin 
-- 可 能 引起 上 述 异 常 被 引发 的 语句 
exception 


when Sensor High | Sensor Low => 
-- 采取 某 些 矫正 动作 
when E: others => 
Put (Exception_Name (E) ); 
Put Line ("caught. The following information is available "); 
Put Line (Éxception Information (E) ); 
-- 响起 警 锥 
end; 
在 一 个 异常 处 理 程序 里 面 引发 的 异常 不 能 够 由 那个 处 理 程 序 或 同一 块 (或 过 程 ) 中 的 
其 他 处 理 程 序 处 理 。 相 反 ， 这 个 块 被 终止 ， 并 在 外 包 的 块 中 或 在 子 程序 的 调用 点 上 寻求 处 
理 程序 。 
4. 异常 传播 
如 采 在 一 个 异常 的 内 包 块 (或 子 程序 或 接受 语句 ) 中 没有 异常 处 理 程序 ， 该 异常 被 再 次 
引发 。Ada 就 是 这 样 传播 异常 。 对 于 块 的 情况 ， 这 导致 异常 在 内 包 块 或 子 程序 中 被 引发 。 对 于 
子 程序 的 情况 ， 异 常 在 其 调用 点 被 引发 。 
关于 Ada 的 一 个 常见 错误 观念 是 异常 处 理 程序 可 在 包 的 初始 化 段 里 提供 ， 以 处 理 在 它们 嵌 
套 的 子 程序 执行 里 引发 的 异常 。 由 子 程序 引发 而 未 被 子 程序 处 理 的 异常 被 传播 给 子 程序 的 调 
用 者 。 所 以 ， 这 样 的 异常 将 只 在 初始 化 代码 自身 调用 了 子 程序 时 才 被 初始 化 代码 处 理 。 下 面 
的 例子 说 明了 这 一 点 。 
Package Temperature Control is 


subtype Temperature is Integer range 0 .. 100; 
Sensor Dead, Actuator Dead : exception; 


procedure Set_Temperature (New_Temp : in Temperature); 
function Read_Temperature return Temperature; 
and Temperature Control; 


package body Temperature Control is 
procedure Set Temperature (New Temp : in Temperature) is 
begin 
-~ 将 新 温度 通知 致 动 器 


if No Response then 
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raise Actuator Dead; 
end if; 
end Set_Temperature; 
function Read_Temperature return Temperature is 
begin 
-- 读 传 感 器 
if No Response then 
raise Sensor Dead; 
end if; 
-- 计算 温度 
return Reading; 
exception 
when Constraint_Error => 
-- 温度 超出 其 预期 范围 ， 采 取 一 些 适 当 的 动作 
end Read Temperature; 
begin 
-- 包 初 始 化 
Set Temperature (Initial Reading); 
exception 
when Actuator Dead => 
-- 采取 一 些 矫正 动作 


end Temperature Control; 
在 此 例 中 ， 过 程 Set_Temperature 可 被 包 外 调用 ， 也 在 包 初始 化 时 被 调用 。 此 过 程 可 能 引 
发 异常 Actuator Dead, 在 包 的 初始 化 段 为 Actuator_Dead 给 出 的 处 理 程序 将 只 能 在 初 
始 化 代码 调用 过 程 时 捕获 异常 。 它 不 能 捕获 包 外 调用 过 程 的 异常 。 
如 果 包 体 的 初始 化 代码 本 身 引 发 了 一 个 异常 且 没 有 局 部 处 理 ， 则 该 异常 被 传播 到 使 这 个 
包 进 入 作用 域 的 那 一 点 。 
5. 最 后 的 希望 
一 个 异常 还 可 以 通过 程序 在 局 部 处 理 程序 中 再 次 引发 该 异常 而 传播 。 语 名 raise (或 过 程 
Ada.Exceptions.Reraise Occurrence) 具有 再 次 引发 上 一 个 异常 (或 特定 异常 出 现 ) 
的 效果 。 这 种 设施 在 “最 后 的 希望 ”(last wishes) 编程 中 是 很 有 用 的 。 常常 有 这 种 情况 : 一 
个 异常 的 意义 对 于 局 部 处 理 程序 来 说 是 未 知 的 ， 但 必须 被 处 理 以 清理 在 此 异常 被 引发 前 可 能 
已 经 发 生 的 任何 资源 分 配 。 例 如 ， 考 虑 一 个 分 配 若 干 设备 的 过 程 。 在 分 配 例 程 中 引发 的 任何 
异常 被 传播 给 调用 者 ， 这 些 异 常 可 能 留 下 几 个 分 配 了 的 设备 。 所 以 ， 如 果 已 经 不 可 能 分 配 整 
个 请 求 的 话 ， 分 配器 希望 回收 有 关 的 设备 。 下 面 的 例子 说 明了 这 种 方法 。 
subtype Devices is Integer range 1 .. Max; 
procedure Allocate (Number : Devices) is 
begin 
-- 请 求 依次 分 配 设备 
-- 注意 哪些 请 求 被 获准 的 
exception 
when others => 
-- 同 收 已 分 配 的 设备 
raise; -- 好 次 引发 该 异常 
end Allocate; 
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按 这 种 方式 使 用 ， 该 过 程 可 被 认为 是 实现 原子 动作 的 失效 原子 性 质 ， 要 么 所 有 资源 都 分 配 了 ， 
要 么 一 个 都 不 分 配 〈 见 第 10 章 )。 u | 
ATH, BETA. CRABB CALEB ROL EM ASE RE 
的 位 置 。 这 些 位 置 改 变 飞 机 升力 的 大 小 ， 在 着 陆 (或 起 飞 ) INTOHPBRRS ELSE UE BASE KLARE 
得 不 稳定 。 假 设 初始 设置 是 对 称 的 ， 下 面 的 过 程 确保 它们 保持 对 称 ， 即 使 引发 了 异常 -一 或 是 
由 于 物理 系统 的 失败 或 是 由 于 程序 错误 2 。 
procedure Wing Settings ( -- 有 关 的 参数 ) is 
begin 
-~ ETT ATE AAAS R AE RE E; 
-- 可 能 引发 异常 
exception 
when others => 
-~ TPR E EAE MT BRI 
-- FARSI RS, AHHETAMA EN B 153 
end Wing Settings; 


Ada 还 为 “最 后 的 希望 ”编程 提供 另 一 种 机 制 。 本 质 上 说 ， 就 是 在 过 程 中 声明 哑 受 控 变 量 。 
所 有 受 控 变量 在 离开 作用 域 的 时 候 ， 都 有 被 自动 调用 的 过 程 。 这 种 终结 过 程 能 够 保证 在 异常 
出 现时 的 终止 状态 。 在 上 面 的 例子 中 ， 它 会 确保 前 沿 锋 对 和 襟 愤 具 有 对 称 设置 ， 见 4.4.1 节 。 

6. 在 声明 制作 期 间 引 发 的 异常 | 

在 子 程序 、 块 、 任 务 或 包 的 声明 部 分 有 可 能 引发 异常 〈( 例 如， 为 变量 赋 一 个 规定 范围 之 
外 的 值 )。 一 般 说 来 ， 出 现 这 种 情况 时 ， 就 放弃 这 个 声明 部 分 ， 并 首先 在 详尽 描述 块 、 子 程序 、 
任务 或 包 的 地 方 引 发 异常 。 

异常 处 理 规则 在 所 有 这 些 情况 下 的 完整 定义 要 比 这 里 列 出 的 复杂 一 些 。 读 者 可 参考 《Ada 
95 参考 手册 》(Ada 95 Reference Manual) 第 11 章 ， 以 查阅 全 部 细节 。 

7. ARAR 

在 过 去 十 年 里 ， 有 一 名 格言 在 程序 员 中 逐渐 流行 ， 它 通常 是 这 样 说 的 : “没有 免费 的 午 
餐 ! ”异常 处 理 设施 的 需求 之 一 是 : 除非 异常 被 引发 了 ， 它 们 不 应 当 引 起 运行 时 开销 (R3). 
Ada 提 供 的 设施 已 经 描述 过 了 ， 表 面 上 看 它们 似乎 满足 这 个 需求 。 然 而 ， 经 常会 有 同 检测 可 能 
的 出 错 状态 相关 的 某 些 开销 。 

例如 ，Ada 提 供 了 一 个 名 为 Constraint_Error 的 标准 异常 ， 它 在 使 用 了 空 指针 、 有 数 
组 界 出 错 或 对 象 被 赋 以 超出 其 容许 范围 的 值 的 时 候 被 引发 。 为 了 捕获 这 些 出 错 状态 ， 编 译 器 
必须 生成 适当 的 代码 。 例 如 ， 当 对 象 是 经 过 指针 访问 的 时 候 ， 如 果 没 有 任何 全 局 流 控 制 分 析 
(或 硬件 支持 )， 编 译 器 就 要 在 访问 该 对 象 之 前 插入 检验 指针 是 否 为 空 的 代码 。 虽 然 这 个 代码 
对 程序 员 来 说 是 不 可 见 的 ， 但 即使 在 没有 引发 异常 时 ， 它 也 会 执行 。 如 果 程 序 使 用 许多 指针 ， 
这 可 能 导致 在 执行 时 间 和 代码 长 度 两 方面 的 重大 开销 。 进 而 ， 这 种 代码 的 出 现 可 能 在 任何 确 
认 过 程 中 都 需要 被 检验 ， 这 可 能 是 难于 做 到 的 。 

Ada 语 言 确实 认识 到 由 运行 时 环境 引发 的 标准 异常 对 具体 应 用 而 言 可 能 是 很 昂贵 的 。 所 LL， 
已 提供 了 一 个 能 够 屏蔽 这 些 检查 的 设施 。 这 是 通过 使 用 suppress 编 用 删除 所 有 的 运行 时 检查 [154] 


O 这 当然 是 一 个 用 于 说 明 方法 的 粗糙 例子 ， 实际 使 用 的 不 一 定 是 这 种 方法 。 
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实现 的 。 这 个 编 用 只 影响 它 所 在 的 那个 编译 单元 。 当 然 ， 如 果 一 个 运行 时 错误 检查 被 屏蔽 掉 了 ， 
而 随后 这 种 错误 发 生 了 ， 那 么 ， 语 言 认为 程序 是 “有 错 的 ”"， 程 序 的 后 续 行 为 是 不 确定 的 。 

8. 完整 例子 

下 面 的 包 说 明 异 常 在 实现 一 个 stack 的 抽象 数据 类 型 中 的 使 用 。 选 这 个 例子 是 因为 它 能 
给 出 完整 规格 说 明和 体 ， 而 不 再 留 什么 东西 给 读者 去 想像 。 

包 是 类 属 的 ， 因 而 可 实例 化 为 不 同类 型 。 


generic 
Size : Natural := 100; 
type Item is private; 
package Stack is 


Stack_Full, Stack_Empty : exception; 


procedure Push (X:in Item); 


procedure Pop (X:out Item); 


end Stack; 


package body Stack is 


type Stack_Index is new Integer range 0..Size-1; 
type Stack Array is array (Stack Index) of Item; 
type Stack is 
record 
S : Stack Array; 
Sp : Stack Index := 0; 
end record; 
Stk : Stack; 


procedure Push (X:in Item) is 
begin 
if Stk.Sp - Stack Index' Last then 
raise Stack Full; 
end if; 
Stk.Sp :-Stk.Sp * 1; 
Stk.S (Stk.Sp) := X; 
end Push; 


procedure Pop (X:out Item) is 
begin 
if Stk.Sp - Stack Index'First then 
raise Stack Empty; 
end if; 
X := Stk.S (Stk.Sp); 
Stk.Sp := Stk.Sp - 1; 
end Pop: 


end Stack; 
可 以 这 样 使 用 它 : 


with Stack; 
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with Text Io; 

procedure Use Stack is 
package Integer Stack is new Stack (Item => Integer); 
X : Integer; 
use Integer Stack; 


begin 
Push (X); 
Pop (X); 
exception 
when Stack Full -» 
Text Io.Put Line ("stack overflow!"); 
when Stack Empty => 


Text Io.Put Line ("stack empty!"); 
end Use Stack; 


9. Ada 异 常 模 型 的 困难 

虽然 Ada 语 言 为 异常 处 理 提供 了 一 套 全 面 的 设施 ， 但 在 它 的 易 用 性 方面 还 有 一 些 困难 。 

1) 异常 和 包 。 可 由 包 的 使 用 引发 的 异常 ， 在 包 的 规格 说 明 中 可 以 与 能 被 调用 的 子 程序 -- 
道 声明 。 但 是 ， 哪 些 子 程序 可 以 引发 哪些 异常 是 不 明显 的 。 如 果 包 的 用 户 没 有 注意 它 的 实现 ， 
他 们 必然 试图 将 异常 的 名 字 同 子 程序 名 字 关 联 起 来 。 在 上 面 所 给 的 关于 栈 的 例子 中 ， 用 户 可 
能 会 假设 异常 Stack_Fu11 是 由 过 程 Pop 而 不 是 由 Push 引 发 的 ! 对 于 大 型 包 ， 哪 些 异常 可 由 
哪些 子 程序 引发 是 不 明显 的 。 在 这 种 情况 下 ， 程序 员 必 须 在 每 次 调用 一 个 子 程序 时 枚 举 所 有 
可 能 的 异常 或 是 使 用 when others。 所 以 ， 包 的 作者 应 当 使 用 注解 指出 哪些 子 程序 可 以 引 
发 哪些 异常 。 

2) 参数 传递 。Ada 不 允许 将 除 字符 串 之 外 的 参数 传递 给 异常 。 如 果 需 要 传递 特定 类 型 的 
对 象 ， 那 么 这 是 不 方便 的 。 

3) 作用 域 和 传播 。 异常 可 能 被 传播 到 它们 声明 的 作用 域 之 外 。 这 种 异常 只 能 由 when 
others 捕 获 。 然 而 ， 当 进一步 传播 到 动态 链 时 ， 它 们 可 能 再 次 回 到 作用 域 。 当 使 用 块 结构 语 
言 和 异常 传播 时 ， 这 是 使 人 为 难 的 ， 虽 然 可 能 是 不 可 避免 的 。 

6.3.2 Java 


在 支持 异常 处 理 的 终止 模型 方面 ， Java 类 似 于 Ada。 不 过 ，Java 异 常 与 Ada 不 同 的 是 它们 
被 集成 到 了 面向 对 象 模型 里 。 

1. 异常 声明 

在 Java 中 , 所 有 异常 都 是 预定 义 类 java. lang. Throwable] ý=, 该 语言 也 定义 其 他 
一 些 类 ,例如 : Error. Exception#lRuntimeException, 图 6-3 画 出 了 它们 之 间 的 关系 。 
在 本 书 中 ， Java 异 常 这 个 术语 用 于 表示 从 Throwable 派 生 的 任何 类 ， 而 不 只 是 从 Exception 
派生 的 类 。 

从 Error 派 生 的 对 象 描述 Java 运 行 时 支持 系统 中 的 内 部 错误 和 资源 耗 尽 。 虽 然 这 些 错误 
显然 对 程序 有 重大 影响 ， 但 是 当 这 些 错误 被 抛 出 〈 引 发) 时， 程序 不 能 做 件 么 事 ， 因 为 关于 
系统 的 完整 性 不 能 做 任何 假设 。 
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图 例 : 


TE 


图 6-3 Java 的 预定 义 类 Throwable 的 层次 体系 


从 Exception 层 次 体系 派生 的 对 象 代表 程序 自己 能 处 理 的 错误 ， 并 可 能 抛 出 它们 自己 。 
RuntimeException 是 那 种 作为 程序 出 错 的 结果 、 由 运行 时 支持 系统 引发 的 异常 。 它 们 包括 诸 
如 由 不 良 类 型 转换 (ClassCastException)、 数 组 界 错 (IndexOutOfBoundException), 
空 指针 访问 (NullPointerException). 零 做 除数 (ArithmeticException) 等 产生 的 
错误 。 

从 Error 或 RuntimeExceptions 派 生 的 可 抛 出 对 象 被 称 为 未 检查 异常 。 这 意味 着 Java 
编译 器 不 预期 它们 在 方法 声明 的 throws 子 句 中 被 标识 出 来 ( 见 下 面 )。 

例如 ， 考 虑 在 6.3.1 节 中 给 出 的 温度 控制 器 的 例子 ， 可 用 Java 写 成 下 面 的 样子 。 首 先 ， 必 
须 声明 一 个 类 以 表示 整数 子 类 型 的 一 个 约束 错误 。 因 为 这 是 一 个 一 般 出 错 状态 ， 可 能 已 经 在 
库 中 提供 了 它 。 这 个 类 的 公有 变量 将 包括 关于 出 错 原因 的 信息 。 


public class IntegerConstraintError extends Exception 


{ 
private int lowerRange, upperRange, value; 


public IntegerConstraintError (int L, int U, int V) 
1 
super (); // 调用 父 类 构造 器 
lowerRange = L; 
upperRange = U; 
value = V; 
} 
public String getMessage O0. 
1 
return ("Integer Constraint Error: Lower Range"+ 
java.lang.Integer.toString (lowerRange) + "Upper Range" + 
java.lang.Integer.toString (upperRange) + "Found" + 
java.lang.Integer.toString (value) ); 
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现在 可 以 引入 temperature 类 型 : 


import exceptionLibrary.IntegerConstraintError; 


public class Temperature 


{ 


private int T; 


public Temperature (int initial) throws IntegerConstraintError 
// 构造 将 


ep 


} 


public void setValue (int V), throws IntegerConstraintError 


{ 


H 


public int readValue () 
{ 


return T; 


E 


// 构造 器 和 setValue fü" WrintegerConstraintError 
}? 


在 上 述 代 码 中 ， 可 抛 出 ITntegerConstraintError 异 常 的 成 员 函 数 是 正式 标 出 的 。 把 这 一 
点 和 Ada 方 法 对 比 ，Ada 是 依赖 于 注解 的 。 

现在 可 以 定义 类 TemperatureController。 它 声明 了 一 个 类 型 ， 用 以 表示 失败 的 致 
动 器 异常 。 在 这 种 情况 中 ， 对 象 中 无 数据 传递 。 


class ActuatorDead extends Exception 
{ 
public String getMessage () 
{ . 
return ("Actuator Dead"); 
) 
H 


class TemperatureController 
{ 
public TemperatureController (int T) 
throws IntegerConstraintError 


currentTemperature - new Temperature (T); 


}; 
Temperature currentTemperature; 


public void setTemperature (int T) 
throws ActuatorDead, IntegerConstraintError 
{ 
currentTemperature.setValue (T); 


}; 


int readTemperature {) 
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{ 


return currentTemperature.readValue (); 
} 

H 
XA. AES ERO TE Pe PAX throws A，B，C 一 一 在 此 情况 下 
该 函数 可 抛 出 此 列表 中 的 任何 异常 和 任何 末 检 查 异 常 。A、B 和 Cc 必须 是 Exception 的 子 类 。 
如 果 函 数 试 图 抛 出 一 个 其 抛 出 列表 不 允许 的 异常 ， 那 么 发 生 编译 错误 。 

2. 抛 出 异常 

在 Java 中 ， 引 发 异常 称 为 抛 出 异常 。 作 为 例子 ， 考 虑 上 节 概 略 描述 的 类 Temperature 的 
完全 实现 。 

import exceptionLibrary.IntegerConstraintError; 


class Temperature 


{ 


int T; 


void check (int value) throws IntegerConstraintError 
{ 
if (value > 100 || value < 0) { 
throw new IntegerConstraintError (0, 100, value); 
}; 
} 


Public Temperature (int initial) throws IntegerConstraintError 
// 构造 器 

{ 
check (initial); 
T = initial; 


} 


public void setValue (int V) throws IntegerConstraintError 


{ 
check (V); 
T= V; 
H 
public int readValue () 
1 


return T; 
E 
}; 


这 里 , throw new IntegerConstraintError (0, 100, value) 创建 并 抛 出 一 个 类 
型 (IntegerConstraintError) 的 对 象 ， 并 给 其 实例 变量 赋予 适当 的 值 。 

3. 异常 处 理 

人 在 Java 中 ， 异 常 只 能 在 try 块 里 处 理 。 每 个 处 理 程序 是 用 catch 语 句 规定 的 。 考虑 下 面 
的 代码 : 

// 给 定 TemperatureController 


try{ 、 
TemperatureController Tc = new TemperatureController (20); 





A 


TC.setTemperature (100); 
// 操纵 湿度 的 语句 
} 
catch (IntegerConstraintError error) { 
// 捕获 到 异常 ， 在 标准 输出 上 打印 出 错 信息 
System.out.println (error.getMessage () ); 


} 
catch (ActuatorDead error) { 
System.out.println (error.getMessage () ); 


} 

catch 语 名 像 是 一 个 函数 声明 ， 它 的 参数 标识 出 被 捕获 的 异常 类 型 。 在 这 个 处 理 程序 里 
对 象 名 就 像 局 部 变量 。 

具有 参数 类 型 ?的 处 理 程序 将 捕获 类 型 了 的 抛 出 对 象 ， 前 提 是 

1) T 和 FE 是 同一 类 型 ， 或 

2) T 在 抛 出 点 是 E 的 父 ( 超 ) 类 。 

正 是 这 最 后 一 条 使 Java 的 异常 处 理 设施 非常 强大 。 在 上 述 例子 中 ， 两 个 异常 是 从 类 Exception 
派生 的 : IntegerConstraintError 和 ActuatorDead。 下 面 的 try 块 将 捕获 这 两 个 异常 : 


try { 
// 可 能 引发 异常 IntegerConstraintError 或 ActuatorDead 的 语句 


到 


} 
eatch (Exception E) { 


// 处 理 程序 将 捕获 所 有 异常 类 型 及 派 牛 类 型 的 异常 
// 但 只 能 是 在 Exception 的 方法 是 可 访问 的 那些 处 理 程序 所 面 
} 
当然 ， 对 于 E .getMessage 的 调用 将 为 抛 出 对 象 的 类 型 分 派 适当 例 程 。 确 实 ，catch (Exce- 
ption E) 等 价 于 Ada 的 when others. 
4. 异常 传播 
像 Ada 一 样 ， 如 果 在 国 数 调用 的 上 下 文中 不 能 找到 异常 处 理 程序 ， 则 该 调用 上 下 文 终止 ， 
且 在 它 的 调用 上 下 文中 寻找 处 理 程序 。 所 以 ，Java 支 持 异 常 传播 。 
5. 最 后 的 希望 
63.l f itie f when others 怎 么 在 Ada 中 被 用 来 编写 最 后 的 希望 。 显 然 ，catch 
(Exception E) 可 用 于 实现 这 个 效果 。 然 而 ，Java 还 支持 作为 try 语 句 一 部 分 的 finally 子 句 。 
附加 于 这 个 子 名 的 代码 被 保证 执行 ， 不 管 在 try 语 名 中 发 生 了 什么 ， 不 管 异常 是 否 被 抛 出 、 捕 获 
或 传播 ， 或 者 甚至 根本 没有 抛 出 任何 异常 。 


try 


finally 
{ 

// 在 所 有 情况 下 都 要 执行 的 代码 
} 
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Ada 使 用 受 控 变量 和 终了 化 (finalization) 可 实现 同样 效果 。 
6. 完 整 例 子 


6 È 


下 面 是 Java 的 一 个 关于 栈 的 例子 ， 前 面 曾 用 Ada 给 出 过 。 关 于 这 个 例子 有 两 点 有 趣 的 东 


西 。 


首先 ， 栈 是 类 属 的 : 任何 对 象 都 可 作为 人 栈 的 参数 传递 。 所 以 ， 不 需要 将 栈 实例 化 (如 
在 Ada 里 那样 )。 此 外 ， 每 个 栈 可 处 理 一 种 以 上 的 对 象 类 型 (与 Ada 不 同 )。 当 然 ， 这 是 因为 


Java 的 栈 实 际 上 是 对 象 引 用 的 栈 。 也 可 以 用 Ada 显 式 地 编制 这 个 程序 。 


第 二 点 是 Java 例 子 只 处 理 对 象 ， 而 不 处 理 像 整 数 这 样 的 基本 类 型 。 这 同 Ada 的 例子 形成 对 


比 ，Ada 处 理 所 有 类 型 。 


public class EmptyStackException extends Exception 


{ 
public EmptyStackException () { 
} 
} 
public class FullStackException extends Exception 
{ ; 
public FullStackException () ( 
} 
} 


public class Stack { 


public Stack (int capacity) 
{ 


stackArray = new Object[capacity]; 


了 


StackIndex = 0; 
StackCapacity = capacity; 
} 
public void push (Object item) throws FullStackException 
{ 
if (stackIndex == StackCapacity) throw new FullStackException (); 
stackArray[stackIndextt] = item; 
H 
public synchronized Object pop () throws EmptyStackException 
1 
if (stackIndex -- 0) throw new EmptyStackException (); 
return stackArray[--stackIndex]; 
H 


protected Object stackarray[]; 
protected int stackIndex; 
protected int stackCapacity; 

) 


上 面 的 类 可 以 像 下 面 这 样 使 用 : 
import Stack; 
import FullStackException; 
import EmptyStackException; 
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public class UseStack 


{ 


public static void main (...) 


{ 
Stack S = new Stack (100); 


try { 
S.push (SomeObject); 
SomeObject = S.pop (); 


} 163 
catch (FullStackException F) ... 


catch (EmptyStackException E) ...; 
) 
) 
. 最 后 ， 应 当 注 意 Java 在 它 的 util 包 中 提供 一 个 标准 Stack 类 。 
6.3.3 C 


C 设 有 在 语言 里 定义 任何 异常 处 理 设施 。 这 种 缺失 显然 限制 了 此 语言 在 可 靠 系统 的 结构 化 
编程 中 的 使 用 。 然 而 ， 可 以 利用 语言 的 宏 设 施 提供 某 种 形式 的 异常 处 理 机 制 。 为 说 明 这 种 方 
法 ， 考 虑 实现 一 个 简单 的 类 似 于 Ada 的 异常 处 理 宏 。 这 个 方法 基于 Lee (1993) 所 给 的 方法 。 

为 用 C 实 现 终 止 模 型 ， 必 须 在 异常 定义 域 的 入 口 处 保存 程序 寄存 器 的 状态 等 等 ， 并 在 异常 
发 生 时 恢复 它们 。 传 统 上 C 已 经 同 Unix 联 系 在 一 起 ， 且 POSIX 的 set jmp 和 longjmp 可 用 于 此 
目的 。 例 程 set jmp 保 存 程序 状态 ， 并 返回 0; 例 程 1ongjmp 恢 复 程序 状态 ， 并 导致 程序 放弃 i 
它 当前 的 执行 ， 自 set jmp 被 调用 的 位 置 重新 启动 。 然 而 ， 这 一 次 setjmp 返 回 由 long jmp 传 
送 的 值 ， 需 要 下 面 的 代码 结构 : 

/* 异 常 域 开始 */ 

typedef char *exception; 


/* 指向 字符 串 的 一 个 指针 类 型 */ 


exception error = "error" ; 


/* —^£WM "error" 的 异常 的 表示 */ 


if ( (current exception = (exception) setjmp (save area) ) -- 0) ( 
/* 保存 寄存 器 等 到 save_area */ 
/* 返 回 0 */ 
/* 守 备 区 */ 
/* 当 验 明了 一 个 异常 "error" 时 */ 
longjmp (save area, (int) error); 
/* 无 返回 */ 
} 
else { 
if (current exception == error)( 


/* "error" 的 处 理 程序 */ 
} 





124 FOF 


else { 


(FEST BS BRE HOO RE RE / 


} 
上 面 的 代码 显然 难以 理解 。 不 过 ， 可 以 定义 一 组 宏 来 使 代码 结构 化 。 


#define NEW EXCEPTION (name) ... 

/* HARAR */ 
#define BEGIN ... 

/* 进入 一 个 异常 域 的 代码 */ 
#define EXCEPTION ... 

/* 开始 异常 处 理 程序 的 代码 *7 
#define END ... 

/* 离开 -一 个 异常 域 的 代码 */ 
#define RAISE (name) ... 

/* 引发 -个 异常 的 代码 *7 
#define WHEN (name) ... 

/* 处 理 程序 的 代码 */ 
#define OTHERS ... 

/* 捕获 所 有 异常 处 理 程 序 的 代码 */ 


考虑 下 面 的 例子 : 


NEW_EXCEPTION (sensor high); 
NEW_EXCEPTION (sensor low); 
NEW EXCEPTION (sensor dead); 
/* 其 他 声明 */ 
BEGIN 
/* 可 能 引起 上 述 异 常 被 引发 的 语句 ， 例 如 */ 
RAISE (sensor_high); 
EXCEPTION 
WHEN (sensor_high) 
/* 采取 某 个 矫正 动作 */ 
WHEN (sensor low) 
/* 采 取 某 个 矫正 动作 */ 
WHEN (OTHERS) 


/* 响起 警 铃 */ 
END; 


以 上 提供 了 一 个 类 似 于 Ada 的 简单 终止 模型 。 
6.4 其 他 语言 中 的 异常 处 理 


在 本 书 中 ， 注 意 力主 要 是 集中 在 Ada、Java、C 和 occam2 语 言 上 。 当 然 ， 还 有 许多 其 他 语 
言 用 于 实时 应 用 ， 但 不 可 能 在 一 本 书 里 全 面 覆盖 它们 。 不 过 本 书 的 宗旨 之 一 是 讨论 其 他 语言 
的 某 些 具体 特征 ， 如 果 它 们 有 特色 或 重要 的 话 。 所 以 ， 本 节 简 要 评述 CHILL、CLU、Mesa 和 
C++ 的 异常 处 理 。 

6.4.1 CHILL 


CHILL 同 Ada 类 似 的 方面 是 : 异常 是 语言 定义 的 一 部 分 并 支持 异常 处 理 的 终止 模型 。 然 而 ， 
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它 提供 的 其 他 设施 却 与 Ada 显 著 不 同 。CHILL 在 类 型 名 字 和 对 象 声 明 的 语法 方面 同 本 书 中 考虑 
的 任 一 种 其 他 语言 都 稍 不 相同 ， 所 以 ， 在 这 里 给 出 的 例子 中 将 使 用 类 似 Ada 的 语法 。 

如 在 6.2.1 节 指出 过 的 ，CHILL 中 异常 处 理 的 域 是 语句 、 块 或 进程 。 所 以 ，CHILL 和 Ada 的 
主要 不 同 是 CHILL 中 异常 处 理 程序 可 以 追加 在 语句 的 末尾 。CHILL 不 用 关键 字 exception， 而 
是 用 on 和 end 把 一 个 处 理 程 序 包 围 起 来 。 在 这 两 个 关键 字 之 间 ， 语法 类 似 于 case 语 句 。 下 面 的 
例子 说 明了 一 个 CHILL 异 常 处 理 程序 。 

-- 用 于 说 明 概念 的 类 Aqa 语 法 ， 不 是 合法 的 CHILL 语 法 


declare 
subtype temperature is integer range 0 .. 100; 


A : temperature; 
B, C : integer; 
begin 


A :- B+C on 
(overflow) : wee ee? 
(rangefail) : .....; 
else m 
end; 


end on 
-- 这 个 块 的 异常 处 理 程序 
(overflow) : t2. 
(rangefail) : .....; 
else eee? 
end; 


CHILL 定 义 车 干 与 Ada 类 似 的 标准 异常 。 在 上 面 的 例子 中 ， 在 把 B 和 c 加 起 来 时 可 能 引发 
(HA) overflow; 此 外 ， 如 果 赋 给 A 的 结果 在 0 到 100 这 个 范围 之 外 ， 可 能 发 生 一 个 range- 
fail 异 常 。else 选 项 等 价 于 Ada 的 when others. 

异常 同 其 处 理 程序 的 关联 是 静态 的 ， 所 以 必须 在 编译 时 是 已 知 的 。 所 以 ， 异常 不 需 预先 
声明 。 然 而 ， 可 由 过 程 的 过 程 首部 中 的 适宜 声明 返回 它们 。 再 次 使 用 类 似 Ada 的 语法 : 

procedure push (x: in item) exception (stack full); 

procedure pop (x: out item) exception (stack_empty); 


对 在 语句 S 执 行 中 发 生 的 异常 E， 静态 地 为 其 确定 一 个 处 理 程序 的 规则 是 : 

*。 它 必须 附加 于 S， 或 

" 它 必 须 附加 于 直接 外 包 S 的 块 ， 或 

。 它 必须 附加 于 直接 外 包 S 的 过 程 ， 或 

° 直接 外 包 的 过 程 必 须 将 E 定 义 在 它 的 规格 说 明 里 ， 或 

* 它 必 须 附 加 于 直接 外 包 S 的 进程 
当 使 用 上 述 规则 找 不 到 异常 处 理 程序 时 ， 程序 就 有 错 了 ， 这 里 没有 异常 的 传播 。 
6.4.2 CLU 

CLU 是 一 个 实验 性 语言 ， 虽 然 不 是 一 个 “实时 ”语言 ， 却 确实 有 某 些 有 趣 的 特征 ， 其 中 
一 个 就 是 异常 处 理 机 制 (Liskov and Snyder，1979 ) 。 它 同 C++ 和 CHILL 相 似 的 是 过 程 声 明 它 
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可 能 引发 的 异常 。 它 也 允许 向 处 理 程序 传递 参数 。 

例如 ， 考 虑 函数 sum_stream， 它 从 字符 流 中 读 入 一 个 有 符号 的 十 进 制 整 数 序 列 ， 
这 些 整数 的 和 。 可 能 有 下 列 异 常 : overflow (HH) BUMP 
unrepresentable integer (不 可 表示 的 整数 ) 一 一 字符 流 中 的 一 个 数 超出 了 整数 的 实 
现 范 围 ; bad format (不 良 格式 ) 一 一 字符 流 中 包含 非 整数 字段 。 对 于 后 两 种 异常 ， 违 规 
字符 串 被 传 给 处 理 程序 。 


sum stream = proc (s : stream) return (int) 
signals 
(overflow, 
unrepresentable integer (string) , 
bad format (string) 
) 
与 CHILL 一 样 ， 没 有 异常 传播 ， 异 常 必 须 在 调用 点 上 处 理 。 
x = sum_stream 
except 
when overflow: 
S1 
when unrepresentable integer (f : string) : 
$2 
when bad format (f:string) : 
S3 
end 


其 中 ，S1、s2 和 s3 是 任意 语句 序列 。 
6.4.3 Mesa 


在 Mesa， 异 常 被 称 为 信号 (signal)。 因 为 它们 能 被 传播 ， 所 以 是 动态 的 ， 而 且 它 们 的 处 
理 程序 遵守 混合 模型 。 像 Ada 异 常 一 样 ， 信 号 必须 被 声明 ， 但 不 同 的 是 ， 其 声明 类 似 于 过 程 类 
型 ， 而 不 是 常量 声明 。 所 以 ， 它 们 可 以 有 参数 和 返回 值 。 当 然 ， 信 号 过 程 体 就 是 异常 处 理 程 
序 。 与 过 程 体 在 编译 时 静态 地 同 过 程 绑 定 在 一 起 不 同 ， 异常 处 理 程序 是 在 运行 时 动态 地 同 信 
号 绑 定 在 一 起 的 。 

处 理 程序 可 以 同 块 相关 联 ， 这 类 似 于 Ada、C++ 和 CHILL。 像 Ada 一 样 ，Mesa 过 程 和 函数 
不 能 指明 它们 能 返回 哪些 信和 号， 然而， 处 理 程序 可 与 过 程 调用 相关 联 ， 给 出 类 似 效果 。 

有 两 类 信号 声明 : 使 用 关键 字 signal 和 使 用 error。 被 声明 为 错误 (error) 的 信号 不 能 
由 其 相应 的 处 理 程序 恢复 。 

6.4.4 C++ . 

C++ 类 似 于 Java, 只 是 它 不 要 求 异 常 的 显 式 声 明 , 而 是 类 的 任何 实例 都 可 被 作为 异常 抛 出 。 
它 没有 预定 义 异 常 。 

一 般 说 来 ， 每 个 函数 可 以 指明 : 

"一 个 可 抛 出 的 对 象 列表 ，throw (A, B, C) 一 一 在 这 种 情况 ， 函数 可 抛 出 列表 中 的 任 

何 对 象 

© FY HUH Mt RHI SA, throw () 一 一 这 种 情况 下 函数 不 抛 出 任何 对 象 

* 没有 可 抛 出 对 象 的 列表 一 一 这 时 ， 函 数 可 抛 出 任何 对 象 
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用 函数 unexpected。unexpectedq 的 默认 动作 是 调用 terminate 国 数 ， 它 的 默认 动作 是 
中 止 程序 。 这 两 个 函数 都 可 以 通过 下 列 调用 使 它们 的 默认 操作 被 覆盖 : 

typedef void (*PFV) (); 

PFV set unexpected (PFV new handler); 

/* 将 默认 动作 置 为 new_handler， 并 返回 前 一 动作 */ 

PFV set terminate (PFV new handler); 

/* 将 默认 动作 置 为 new_handler， 并 返回 前 一 动作 */ 

类 似 于 Java，C++ 有 catch 语 句 ， 它 的 参数 标识 要 捕获 的 对 象 的 类 型 。 

带 参 数 类 型 ?的 处 理 程序 将 捕获 类 型 BE 的 被 抛 出 对 象 ， 前 提 

1) T 和 E 是 同一 类 型 ; 

2) T 是 一 个 指针 类 型 ， 而 E 是 一 个 在 抛 出 点 可 由 C++ 标 准 指 针 转 换 器 转换 成 T 的 指针 类 型 ; 

3) T 是 一 个 指针 类 型 ， EB 是 T 指 向 的 类 型 的 对 象 一 -这 时 创建 一 个 指向 那个 被 抛 出 对 象 的 
指针 ， 指 针 和 对 象 二 者 都 存在 ， 直 到 退出 该 异常 处 理 程序 ; 

4) 在 抛 出 点 ?是 EF 的 基 类 。 

可 按 与 Java 类 似 的 方式 构造 异常 层次 体系 。 


6.5 恢复 块 和 异常 


在 第 5 章 中 ， 恢 复 块 是 作为 容错 程序 设计 的 机 制 引进 的 。 它 相对 于 向 前 出 错 恢复 机 制 的 主 
要 优点 是 它 可 被 用 于 从 预见 不 到 的 错误 恢复 ， 特 别 是 从 软件 部 件 的 设计 错误 中 恢复 。 本 章 到 
目前 为 止 ， 只 考虑 了 预见 到 的 错误 ， 虽 然 “ 全 捕获 ”异常 处 理 程序 可 被 用 于 捕捉 未 知 异 常 。 
本 节 描 述 使 用 异常 和 异常 处 理 程序 实现 恢复 块 。 

作为 提醒 ， 将 恢复 块 的 结构 展示 如 下 : 


ensure < 接受 测试 > 
by 
< 基本 模块 > 
else by 
< 术 代 模块 > 
else by 
< 替代 模块 > 


else by 
SERE 
else error 
出 错 检测 设施 是 由 接受 测试 提供 的 。 这 个 测试 不 过 就 是 那 种 使 用 向 前 出 错 恢复 会 引发 异 
常 的 测试 的 “ 非 *。 剩 下 的 问题 只 是 实现 状态 保存 和 状态 恢复 。 在 下 面 的 例子 中 ， 这 被 表示 成 
一 个 实现 恢复 高 速 缓存 的 Ada 包 。 过 程 save 将 程序 的 全 局 和 局 部 变量 的 状态 保存 到 这 个 恢复 
高 速 缓 在 中 ， 这 不 包括 程序 计数 器 的 值 、 栈 指针 等 等 。 对 Restore 的 调用 将 重 置 程序 变量 为 
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package Recovery Cache is 
procedure Save; 
procedure Restore; 

end Recovery Cache; 


显然 ， 这 个 包 里 有 点 窍门 ， 它 需要 运行 时 系统 的 支持 ， 甚 至 可 能 还 要 为 恢复 高 速 缓存 提 
供 硬件 支持 。 还 有 ， 这 可 能 不 是 实现 状态 恢复 最 高 效 的 方法 。 更 为 理想 的 是 提供 更 多 的 基本 
原 语 ， 并 允许 程序 使 用 其 应 用 知识 来 优化 已 保存 的 信息 数量 (Rogers and Welling, 2000). 

下 一 个 例子 的 目的 是 要 证 明 : 如 果 有 恢复 高 速 缓存 实现 技术 ， 就 可 在 异常 处 理 环境 中 使 
用 恢复 块 。 还 要 注意 ， 通 过 使 用 异常 处 理 程序 ， 在 恢复 状态 之 前 就 能 实现 向 前 出 错 恢复 。 这 
克服 了 对 恢复 块 的 一 种 批评 : 难于 重 置 环境 。 

所 以 恢复 块 方案 可 用 带 异 常 的 语言 加 上 来 自 底层 运行 时 支持 系统 的 少量 帮助 实现 。 例 如 ， 
用 Ada 编 写 的 三 重 元 余 恢 复 块 的 结构 可 以 是 : 

procedure Recovery Block is 

Primary Failure, Secondary Failure, 
Tertiary Failure: exception; 

Recovery Block Failure : exception; 
type Module is (Primary, Secondary, Tertiary); 
function Acceptance Test return Boolean is 
begin 

-- 接受 测试 的 代码 
end Acceptance Test; 
procedure Primary is 
begin 

-- 基本 算法 的 代码 

if not Acceptance Test then 

raise Primary Failure; 


end if; 

exception 
when Primary Failure => 
~~ 将 环境 向 前 恢复 到 所 需 状态 

raise; 


when others => 
-- 非 预 期 错误 
-- 将 环境 向 前 局 复 到 所 需 状态 
raise Primary Failure; 
end Primary; 


procedure Secondary is 
begin 
-~ 次 要 算法 代码 
if not Acceptance Test then 
raise Secondary Failure; 
end if; 
exception 
when Secondary Failure => 
-~ 将 环境 向 前 恢复 到 所 需 状态 
raise; 
when others => 
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-~ 非 预 期 错误 
-~ 将 环境 向 前 恢复 到 所 需 状 态 
raise Secondary Failure; 


end Secondary; 


procedure Tertiary is 
begin 
-- 第 王位 算法 的 代码 
if not Acceptance Test then 
raise Tertiary Failure; 
end if; 
exception 
when Tertiary Failure => 
-- 将 环境 向 前 恢复 到 所 需 状态 
raise; 
when others => 
-~ 非 预 期 错误 
-~ 将 环境 向 前 恢复 到 所 需 状态 
raise Tertiary Failure; 
end Tertiary; 


begin 
Recovery Cache.Save; 
for Try in Module loop 
begin 
case Try is 
when Primary => Primary; exit; 
when Secondary => Secondary; exit; 
when Tertiary => Tertiary; 
end case; 
exception 
when Primary Failure => 
Recovery Cache.Restore; 
when Secondary Failure => 
Recovery Cache.Restore; 
when Tertiary Failure => 
Recovery Cache.Restore; 
raise Recovery Block Failure; 
when others => 
Recovery Cache.Restore; 
raise Recovery Block Failure; 
end; 
` end loop; 
end Recovery Block; 


Ws 
本 章 研究 了 顺序 过 程 的 各 种 异常 处 理 模型 。 虽 然 有 许多 不 同 模型 存在 ， 
下 述 问 题 : 


* 异常 表示 一 一 异常 可 以 在 语言 中 显 式 表示 ， 也 可 以 不 。 
* 异常 处 理 程序 的 定义 域 一 一 同 每 个 异常 处 理 程序 关联 的 有 一 个 定义 域 ， 
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但 它们 都 致力 于 


它 规定 一 个 计算 
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区 域 ， 如 采 在 此 区 域 引 发 异常 ， 将 激活 这 个 处 理 程序 。 定 义 域 一 般 是 同 块 、 子 程序 或 语 
句 相 关联 的 。 
“异常 传播 一 一 这 同 异常 定义 域 的 思想 密切 相关 。 当 一 个 异常 被 引发 时 ， 可 能 在 包围 的 定 
叉 域 中 没有 异常 处 理 程序 。 这 时 ， 或 者 异常 被 传播 到 下 一 个 外 层 包围 定义 域 ， 或 者 被 认 
为 是 程序 员 错误 ( 它 常常 能 在 编译 时 标志 出 来 )。 
* 恢复 或 终止 模型 一 这 决定 了 在 处 理 异常 后 要 进行 的 动作 。 在 恢复 模型 中 ， 异 常 的 调用 
者 在 调用 异常 的 后 一 个 语句 处 被 恢复 。 对 于 终止 模型 ,包含 处 理 程序 的 块 或 过 程 被 终止 ， 
控制 被 传 给 调用 块 或 过 程 。 混 合 模型 使 处 理 程序 能 够 选择 是 恢复 还 是 终止 。 
* 传 给 处 理 程序 的 参数 一 一 允许 或 不 允许 。 

各 种 语言 的 异常 处 理 设 施 总 结 在 表 6-1 中 。 


表 6-1 多 种 语言 的 异常 处 理 设施 





i 5 定义 域 传 播 模 型 2 * 
Ada ES 是 终止 受 限制 
Java 块 是 终止 是 

C++ 块 是 终止 是 
CHILL 语句 否 终止 否 

CLU 语句 f 终止 是 

Mesa 块 是 混合 是 


对 于 是 否 应 当 在 语言 中 提供 异常 处 理 设施 的 意见 不 一 致 。 例 如 ，C 和 occam2 中 没有 。 对 
于 怀疑 者 ， 异 常 类 似 于 goto， 其 目的 地 是 不 可 确定 的 ， 其 来 源 也 是 未 知 的 。 所 以 ， 它 们 可 被 
看 作 是 与 结构 化 程序 设计 对 立 的 。 然 而 ， 本 书 不 持 此 观点 。 
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练习 


6.1 将 异常 处 理 以 及 软件 容错 的 恢复 块 方法 进行 比较 和 对 照 . 
6.2 给 出 下 列 几 种 异常 的 例子 : 

(1) 由 应 用 检测 的 同步 异常 

(2) 由 应 用 检测 的 异步 异常 

(3) 由 执行 环境 检测 的 同步 异常 

(4) 由 执行 环境 检测 的 异步 异常 
53 包 Character_Io 的 规格 说 明 如 下 ， 它 提供 一 个 函数 ， 从 终端 读 取 字 符 。 它 还 提供 个 
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过 程 ， 抛 弃 当 前 行 上 所 有 剩余 的 字符 。 此 包 可 引发 异常 To_BError。 172 


package Character_Io is 
function Get return Character; 
-- 从 终端 读 字 符 
procedure Flush; 
-- 抛弃 当前 行 上 的 所 有 字符 


Io_Error : exception; 


end Character_Io; 


另 一 个 包 Look 包 括 国 数 Read， 它 能 扫描 当前 输入 行 ， 寻 找 标点 字符 逗号 〈(, )、 名 号 
(.) 和 分 号 (;)。 此 函数 将 返回 找到 的 下 一 个 标点 符号 ， 或 引发 异常 
Illegal Punctuation (如 果 找 到 一 个 非 字 母 数字 字符 的 话 )。 如 果 在 扫描 输入 行 的 
过 程 中 ， 遇 到 了 一 个 To_Error， 则 异常 被 传播 给 Read 的 调用 者 。Look 的 规格 说 明 如 
下 : 
with Character Io; use Character Io; 
package Look is 

type Punctuation is (Comma, Period, Semicolon); 


function Read return Punctuation; 


-- 从 终端 上 读 下 一 个 ，。 或 ; 


Illegal Punctuation : exception; 
end Look; 


Look 的 包 体 大 致 上 是 使 用 Character_Io 包 从 终端 读 和 人 字符。 在 收 到 合法 的 标点 字 
符 、 非 法 的 标点 字符 或 To_Error 异 常 的 时 候 ， 应 当 将 输入 行 的 剩余 部 分 丢掉 。 你 可 以 假 . 
设 输入 行 总 是 有 合法 的 或 非法 的 标点 字符 并 随机 地 出 现 ITo_Error。 使 用 Look 包 ,勾画 
出 过 程 set ”Punctuation 的 代码 ， 它 总 是 返回 下 一 个 标点 字符 而 不 管 Look 引 发 的 异 
常 。 可 以 假设 无 穷 的 输入 流 。 

6.4 在 一 个 过 程控 制 应 用 中 ， 气 体 在 一 个 封闭 的 箱 中 加 热 。 箱 子 用 冷却 剂 包 住 ， 以 通过 传导 降 
低 气 体 的 温度 。 还 有 一 个 阀 ， 打 开 时 释放 气体 到 大 气 中 去 。 过 程 的 操作 由 一 个 Ada 包 控制 ， 
它 的 规格 说 明 在 下 面 给 出 。 为 安全 起 见 ， 这 个 包 识别 各 种 出 错 情况 ， 通 过 引发 异常 使 包 的 
用 户 引 起 注意 。 异常 Heater_stuck_On 由 过 程 Heater_off 在 不 能 关 掉 加 热 器 的 时 候 
引发 。 异常 Temperature_Still_Rising 由 过 程 Increase_Coolant 在 不 能 通过 增 
加 冷却 剂 使 温度 降低 的 时 候 引 发 。 最 后 ， 异常 Valve_Stuck 由 过 程 Open_Valve 在 不 能 
使 气体 释放 到 大 气 中 的 时 候 引 发 。 174 


Package Temperature Control is 
Heater Stuck_On, Temperature Still Rising, 
Valve Stuck : exception; 


procedure Heater On; 


-- 打开 加 热 器 


Procedure Heater Off; 
-- 关闭 加 热 器 
-- 引发 Heater_Stuck_On 


procedure Increase Coolant; 
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-~ 使 环绕 箱子 的 冷却 剂 流 增加 ， 直到 温度 到 达 
-- 一 个 安全 级 别 


-- 引发 Temperature_Still_ Rising 


procedure Open Valve; 
-- 引发 Valve Stuck 


rocedure Panic; 
UT MUSES, DDPRUNDI. BES RUSE 
end Temperature Control; 
写 一 个 Ada 过 程 ， 它 被 调用 的 时 候 将 尝试 关闭 气体 箱 中 的 加 热 器 。 如 果 加 热 器 关 不 了 ， 
则 环绕 在 箱子 周围 的 冷却 剂 流 应 当 增 加 。 如 果 温 度 依然 上 升 ， 则 脱 逸 阀 应 被 打开 以 释放 气 
体 。 如 果 这 一 点 失败 ， 警 报应 响起 并 通知 紧急 服务 。 
6.5 写 一 个 通用 目的 类 属 Ada 包 ， 以 实现 嵌 套 的 恢复 块 。( 提示: 基本 模块 、 次 级 模块 、 接 受 测 
试 等 等 应 被 封装 在 一 个 包 中 ， 并 作为 参数 传送 给 这 个 类 属 包 。) 
6.6 在 语言 之 外 可 由 标准 包 实 现 Ada 异 常 处 理 设施 的 哪些 方面 ? 
6.7 你 怎么 驳斥 这 种 说 法 : Ada 异 常 是 一 个 goto， 其 目的 地 不 可 确定 且 来 源 是 未 知 的。 同样 的 
论点 对 (a) 异常 处 理 的 恢复 模型 和 (b) CHILL 终 止 模型 成 立 吗 ? 
6.8 比较 下 面 显然 等 同 的 代码 片断 (变量 Initial 属 于 整 型 ) 的 异常 定义 域 : 


Procedure Do_Something is 
subtype Small Int is Integer range -16..15; 
A : Small Int := Initial; 

begin 


end Do Something: 


procedure Do Something is 
subtype Small Int is Integer range -16..15; 
A : Small Int; 

begin 
A := Initial; 


end Do Something; 


procedure Do Something is 
subtype Small Int is Integer range -16..15; 
A : Small Int; 
begin 
begin 
A := Initial; 


end; 
end Do Something; 
6.9 说 明 6.3.3 节 给 出 的 C 语 言 宏 是 能 够 实现 的 。 
6.10 考虑 下 列 程序 : 


I : Integer : 


wood 
e 
we 


J : Integer : 
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K : Integer := 3; 


procedure Primary is 


begin 
J := 20; 
I := K*J/2 


end Primary; 


procedure Secondary is 


begin 


end Secondary; 


procedure Tertiary is 


begin 
J := 20; 
I := K*J/2 


end Tertiary; 


这 段 代码 准备 在 恢复 块 环境 和 异常 处 理 环 境 中 执行 。 下 面 是 恢复 块 环境 : 
ensure I = 20 
hy 
primary; 
else by 
Secondary; 
else by 
Tertiary; 
else 


下 面 是 异常 处 理 环境 : 
Failed : exception; 
type Module is (P, S, T); 


for Try in Module loop 
begin 
case Try is 
when P => 
Primary; 
if I /= 20 then 
raise Failed; 
end if; 
exit; 
when § => 
Secondary; 
if I /= 20 then 
raise Failed; 
end if; 
exit; 
when T => 
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Tertiary; 
if I /= 20 then 
raise Failed; 
end if; 
exit; 
end case; 
exception 
when Failed => 
if Try - T then 
I :- 20; 
end if; 
end; 
end loop; 


假设 使 用 异常 处 理 的 终止 模型 ， 比较 和 对 照 恢 复 块 环境 和 异常 处 理 环境 两 个 代码 段 
的 执行 。 
6.11 说 明 怎 样 用 C++ 和 Java 实 现 恢复 块 。 提示 见 参 考 文献 [Rubira-Calsavara and Stroud (1994) ], 
6.12 用 Java 重 做 习题 6.3 。 
6.13 用 Java 重 做 习题 6.4。 
6.14 解释 在 什么 情况 下 Ada 中 的 when others (e: Exception Id) 不 等 价 于 Java 中 的 
catch (Exception e). . 
177) 645 将 异常 集成 到 OOP 模 型 的 优点 和 缺点 是 什么 ? 
6.16 已 经 为 安全 至 上 的 嵌 人 式 系统 定义 了 Ada 95 的 一 个 子 集 。 该 语言 有 形式 化 语义 和 一 组 能 
使 用 静态 分 析 技术 的 工具 。 它 没 有 异常 处 理 设施 。 设计 者 争辩 说 如 果 程 序 被 证 明 是 正确 
178 的 ， 异常 就 不 可 能 发 生 。 对 于 将 异常 处 理 设施 引进 这 个 语言 ， 能 够 提出 些 什么 论据 昵 ? 








7.1 进程 概念 小 结 
7.2 并 发 执行 相关 阅读 材料 
7.3 进程 表示 练习 


7.4 一 个 简单 的 谈 入 式 系统 


所 有 实时 系统 实质 上 都 是 并 发 的 。 对 于 打算 用 于 此 领域 的 语言 来 说 ， 如 果 它 们 提供 给 程 


序 员 的 原 语 同 应 用 的 并 行 性 相 匹 配 ， 那 就 会 有 更 强 的 表达 能 力 。 

并 发 编程 是 一 种 表达 潜在 并 行 性 和 解决 由 此 产生 的 同步 和 通信 问题 的 编程 记号 
和 技术 的 名 字 。 并 行 性 的 实现 是 计算 机 系统 (硬件 和 软件 ) 中 的 课题 ， 它 本 质 上 同 
并 发 编程 无 关 。 并 发 编程 是 重要 的 ， 因 为 它 提 供 一 种 用 以 研究 并 行 性 而 不 陷入 实现 
细节 的 抽象 框架 (Ben-Ari，1982)。 


本 章 及 随后 两 章 ， 集 中 讨论 同 通用 并 发 编程 相关 联 的 问题 。 时 间 及 其 在 程序 中 的 表示 和 
处 理 放 到 第 12 章 讨论 。 


7.1 进程 概念 


无 论 是 自然 语言 还 是 计算 机 语言 都 有 双重 性 质 : 一 方面 是 能 表达 ， 一 方面 是 限制 可 以 应 
用 这 种 表达 能 力 的 框架 。 如 果 一 个 语言 不 支持 一 个 特定 观念 或 概念 ， 那 么 使 用 该 语言 的 人 就 
不 能 应 用 那个 概念 ， 并 且 甚 至 完全 没有 意识 到 它 的 存在 。 

Pascal、C、FORTRAN 和 COBOL 都 是 顺序 编程 语言 ， 它 们 共享 一 些 共 同属 性 。 用 这 些 语 
言 写 的 程序 只 有 一 条 控制 线程 ， 它 们 从 某 个 状态 开始 执行 并 前 进 ， 一 次 执行 一 个 语句 ， 直 到 
程序 终止 。 程 序 经 由 的 路 径 可 因 输入 数据 的 变化 而 不 同 ， 但 对 程序 的 任何 特定 执行 只 有 一 条 
路 径 。 这 一 点 对 于 实时 系统 的 编程 是 不 够 的 。 

按 Dijkstra (1968a) 的 探索 性 工作 的 说 法 ， 并 发 程序 习惯 上 被 看 成 由 一 个 自治 顺序 进程 
的 集合 组 成 ， 这 些 进程 (在 逻辑 上 ) 是 并 行 执行 的 。 并 发 程序 设计 语言 都 显 式 或 隐 式 地 加 进 
了 进程 概念 ， 每 个 进程 本 身 有 一 个 控制 线程 9 。 

进程 集合 的 实际 实现 ( 即 执行 ) 通常 有 三 种 形式 : 

1) 进程 在 单 处 理 器 上 多 路 执行 

2) 进程 在 多 处 理 器 系统 上 多 路 执行 ， 访 问 共享 的 存储 器 。 

3) 进程 在 儿 个 处 理 器 上 多 路 执行 ， 不 共享 存储 器 (这 种 系统 通常 叫做 分 布 式 系统 )。 

还 可 以 是 这 三 种 方式 的 混合 形式 。 


O 操作 系统 的 近期 工作 提出 了 线程 和 多 线程 进程 的 概念 。 本 节 稍 后 会 再 回 到 这 个 问题 。 
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只 有 在 (2) 和 (3) 情况 下 ,一 个 以 上 进程 的 真正 并 行 执行 才 有 可 能 。 并 发 这 个 术语 指 
潜在 并 行 性 。 并 发 编程 语言 使 程序 员 能 表达 逻辑 上 并 行 的 活动 ， 而 无 需 关心 其 实现 。 有 关 真 
正 并 行 执行 的 问题 在 第 14 章 考虑 。 

图 7-1 简 单 说 明了 进程 的 寿命 。 一 个 进程 被 创建 ,进入 初始 化 状态 , 直到 执行 并 终止 。 注 意 ， 
有 些 进 程 可 能 永远 不 终止 ， 而 另 一 些 进程 可 能 在 初始 化 时 就 失败 ， 从 未 执行 就 直接 终止 。 终 止 
后 ， 进 程 就 不 存在 ， 不 再 能 被 访问 (就 像 走 出 了 它 的 作用 域 )。 显然， 进程 的 最 重要 状态 是 执 
行 ， 然 而 ， 由 于 处 理 器 数量 的 限制 。 并 非 所 有 进程 能 立即 执行 。 所 以 可 执行 的 【executable) 这 
个 术语 用 于 指出 : 如 果 有 一 个 处 理 器 可 用 的 话 ， 进 程 就 能 够 执行 。 





图 7-1 进程 的 简单 状态 图 


从 对 于 进程 的 这 种 考虑 来 看 ， 显 然 ， 并 发 程序 的 执行 不 像 顺 序 程序 的 执行 那样 直截了当 
进程 必须 被 创建 、 被 终止 ， 并 分 派 给 可 用 处 理 器 或 从 可 用 的 处 理 器 上 离开 。 这 些 活动 是 由 运 
行 时 支持 系统 (Run-Time Support System, RTSS) 或 运行 时 内 核 (Run-Time Kernal ) 完成 的 。 
RTSS 具 有 操作 系统 中 的 调度 程序 的 许多 性 质 ， 在 逻辑 上 位 于 硬件 和 应 用 软件 之 间 。 事 实 上 ， 
它 可 取 下 列 形式 之 一 : 

1) 作为 应 用 的 一 部 分 的 一 个 软件 结构 ( 即 作为 并 发 程序 的 一 个 部 件 )， 这 是 Modula-2 语 
言 采用 的 方法 。 ; 

2) 和 程序 目标 码 一 起 由 编译 器 生成 的 标准 软件 系统 。 这 是 Ada 和 Java 程 序 的 结构 。 

3) 在 处 理 器 里 的 微 码 化 硬件 结构 (为 了 效率 )。 运行 在 传输 机 上 的 occam2 程 序 有 这 样 的 
运行 时 系统 。 

RTSS 的 调度 算法 ( 即 决定 下 一 个 要 执行 的 进程 ， 如 果 当 前 有 多 个 可 执行 进程 的 话 ) 将 影 
响 程 序 的 时 间 行为 ， 虽 然 对 于 构造 良好 的 程序 ， 程序 的 逻辑 行为 不 依赖 于 RTSS。 从 程序 的 观 
点 看 ， 假 设 RTSS 是 非 确定 性 地 调度 进程 。 对 于 实时 系统 ， 调度 的 特性 十 分 重要 。 在 第 13 章 进 
一 步 讨 论 它们 。 

虽然 本 书 的 关注 重点 是 并 发 实时 语言 ， 显 然 ， 一 个 替代 的 方法 是 使 用 顺序 语言 和 实时 操 
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作 系 统 。 所 有 操作 系统 都 提供 创建 并 发 进程 的 设施 。 通 常 ， 每 个 进程 在 它 自己 的 虚拟 机 上 热 
行 ， 以 避免 来 自 其 他 无 关 进 程 的 和 干预。 事实 上 ， 每 个 进程 是 个 单一 的 程序 。 然 而 ， 近 几 年 有 
趋势 是 提供 在 程序 内 创建 进程 的 设施 。 现 代 操 作 系 统 允 许 在 同一 个 程序 内 创建 的 进程 对 共享 
存储 器 进行 无 限制 的 访问 《这 样 的 进程 常常 叫做 线程 (thread))。 所 以 ， 在 那些 遵循 POSIX 的 
操作 系统 里 ， 必 须 区 分 程序 (进程 ) 之 间 的 并 发 性 和 在 程序 (线程 ) 内 的 并 发 性 。 通 常 ， 操 
作 系 统 可 见 的 线程 和 单独 由 库 例 程 支持 的 线程 之 间 也 有 区 别 。 例 如 Windows 2000 支 持 线程 和 
线 从 fibers )， 后 者 对 于 内 核 是 不 可 见 的 。 

对 于 并 发 性 的 支持 是 由 语言 提供 ，; 还 是 只 应 由 操作 系统 提供 ， 在 程序 员 、 语 言 设 计 者 和 

操作 系统 设计 者 之 间 已 经 有 很 长 时 间 的 争论 。 EEO RH HGR SUBIR ah UIDI RARE 
1) 使 程序 较 易 读 和 易 维 护 。 
2) 有 多 种 不 同 的 操作 系统 ， 在 语言 中 定义 并 发 性 使 程序 更 可 移植 。 
3) 人 嵌入 式 计算 机 可 能 没有 驻 留 的 操作 系统 可 用 。 

这 些 争论 显然 对 Ada 和 Java 设 计 者 们 很 有 分 量 。 反 对 把 并 发 性 放 进 编程 语言 中 去 的 论据 有 : 

1) 不 同 语言 有 不 同 的 并 发 模型 ， 如 它们 都 用 并 发 性 的 同一 操作 系统 模型 ， 就 更 易于 将 不 
同 语言 的 程序 组 合 起 来 。 

2) 在 操作 系统 的 模型 之 上 很 难 有 效 地 实现 一 个 语言 的 并 发 模型 。 

3) 正在 产生 操作 系统 的 标准 ， 因 此 程序 会 变 得 更 可 移植 。 

在 民用 航空 工业 开发 集成 模块 化 航空 电子 学 项 目 (Integrated Modular Avionics) 的 时 候 ， 
选用 了 一 个 标准 应 用 核心 界面 (叫做 APEX) 支持 并 发 性 ， 而 没有 选用 Ada 的 并 发 性 模型 
(ARINC AEE Committee，1999)。 需 要 支持 多 种 语言 是 这 种 选择 的 主要 原因 之 一 。 毫 无 疑问 ， 
这 种 争论 还 会 持续 一 段 时 间 。 

并 发 编程 构造 / 

虽然 并 发 编程 的 构造 在 不 同 语言 (和 操作 系统 ) 之 间 各 不 相同 ， 但 是 有 三 种 基本 设施 是 
必须 提供 的 。 它 们 用 以 支持 : 

1) 通过 进程 概念 表达 并 发 执行 

2) 进程 同步 

3) 进程 间 的 通信 

在 考虑 进程 交互 时 ， 需 要 区 分 三 类 行为 : 

。 独立 的 

* 合作 的 

* 竞争 的 

独立 进程 相互 不 通信 也 不 同步 。 与 之 相 比 ， 合作 进程 则 通常 要 定期 通 辖 和 同步 以 完成 某 
些 共同 的 活动 。 例 如 ， 柑 入 式 计算 机 系统 的 一 个 部 件 可 能 有 多 个 进程 涉及 到 把 容器 中 气体 的 
温度 和 温度 保持 在 某 个 界限 之 内 。 这 就 可 能 需要 频繁 的 交互 。 

计算 机 系统 拥有 有 限 的 资源 ， 它 们 可 以 在 进程 之 间 共 享 ， 例 如 ， 外 部 设备 、 存 储 器 和 处 
理 器 能 力 。 为 了 使 进程 得 到 这 些 资 源 的 公平 共享 ， 它 们 必须 互相 竞争 。 资源 分 配 的 活动 不 可 
避免 地 需要 系统 中 进程 之 间 的 通信 与 同步 。 但 是 ， 虽然 这 些 进程 为 得 到 资源 而 通信 和 同步 ， 
它们 本 质 上 却 是 独立 的 。 

后 续 三 章 的 重点 是 讨论 支持 进程 创建 和 进程 交互 的 设施 。 
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7.2 并 发 执行 

虽然 进程 的 概念 对 所 有 并 发 编程 语言 是 共同 的 ， 但 它们 采用 的 并 发 模型 却 有 可 观 的 差别 。 
这 些 差别 是 关于 : 

"结构 

* 层次 

“粒度 

“初始 化 

“终止 

“表示 

可 将 进程 的 结构 按 如 下 分 类 : 

“静态 的 : 进程 数目 是 固定 的 ， 并 在 编译 时 已 知 。 

“动态 的 : 进程 可 在 任何 时 刻 创 建 。 现 存 的 进程 数目 只 在 运行 时 才 决 定 。 

语言 之 间 的 另 一 个 区 别 来 自 支持 的 并 行 层 次 。 也 可 分 成 两 种 情况 : 

1) REA: 进程 可 在 程序 正文 的 任何 层次 定义 ， 特 别 是 进程 可 在 其 他 进程 中 定义 。 

2) 平坦 的 : 进程 只 在 程序 正文 的 最 外 层 定 义 。 

天 ”1 给 出 了 阁下 编程 语言 的 结构 和 层次 特征 。 在 此 表 中 ，C 语 言 被 合并 到 了 POSIX 的 
"AX d SE JS. 


表 7-1 若干 并 发 编程 语言 的 结构 和 层次 特征 





i8 E 结 x 层 次 
Concurrent Pascal 静态 平坦 
occam2 静态 RE 
Modula-1 动态 平坦 
Modula-2 动态 平坦 
Ada 动态 KE 
Java 动态 kE 
Mesa 动态 KE 


C/POSIX 动态 平坦 


在 支持 做 套 构造 的 语言 中 ， 还 有 一 个 有 趣 的 区 别 ， 即 所 谓 的 粗 粒度 和 细 粒 度 并 行 性 。 粗 
粒度 并 发 程序 只 包含 少量 的 进程 ， 每 个 进程 都 有 一 个 显著 的 生存 史 。 比 较 起 来 ， 细 粒度 并 行 
性 程序 具有 大 量 的 简单 进程 ， 其 中 有 一 些 只 为 单一 的 动作 存在 。 大 多 数 并 发 编程 语言 ， 以 Ada 
为 代表 ， 具 有 粗 粒度 并 行 性 。occam2 是 具有 细 粒 度 并 行 性 的 并 发 语言 的 好 例子 。 

当 创建 进程 时 ， 可 能 需要 为 它 的 执行 提供 一 些 有 关 的 信息 (很 像 在 过 程 被 调用 时 需要 提 
供 的 信息 )。 有 两 种 方式 进行 这 种 初始 化 。 第 一 种 是 以 参数 形式 给 进程 传递 信息 ; 第 二 种 是 在 
进程 开始 执行 后 与 它 显 式 通信 。 

进程 终止 能 够 以 各 种 不 同 的 方式 完成 、 允 许 进程 终止 的 情况 可 简单 概括 如 下 : 

1) 进程 体 执行 完毕 ; 

2) 自 灭 ， 通 过 执行 “自我 终止 ”语句 ; 

3) 中 止 ， 经 由 另 一 进程 的 显 式 动作 ; 
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4) 非 捕获 出 错 条 件 的 出 现 ; 

5) 从 不 : 假定 进程 执行 一 个 无 终止 循环 ; 

6) 不 再 需要 。 

通过 使 用 嵌 套 层次 ， 可 建立 进程 的 分 级 体系 ， 并 形成 进程 之 间 的 关系 。 对 任何 进程 ， 区 
分 负责 创建 它 的 进程 (或 块 ) 和 受 其 终止 影响 的 进程 (或 块 ) 很 有 用 。 前 一 种 关系 被 称 为 父 / 
子 (parent/child) 关系 ， 并 有 这 种 属性 : 当 子 进程 正 被 创建 和 初始 化 时 ， 父 进程 可 能 被 延迟 。 
后 一 种 关系 被 称 为 监护 者 /眷属 ( guardian/dependant) 关系 。 一 个 进程 可 能 依赖 于 监护 者 进程 
本 身 或 监护 者 进程 的 内 层 块 。 直 到 块 的 所 有 依赖 进程 都 已 终止 ， 监 护 者 进程 才能 从 这 个 块 退 
出 (也 就 是 说 ， 一 个 进程 在 其 作用 域外 不 存在 )。 由 此 推论 出 : 监护 者 在 其 所 有 依赖 者 都 已 终 
止 之 前 不 得 终止 。 这 个 规则 有 一 个 特别 的 推论 : 一 个 程序 在 它 里 面 创建 的 所 有 进程 终止 之 前 
不 得 终止。 

在 某 些 情况 下 ， 进 程 的 父 进 程 可 能 就 是 它 的 监护 者 。 对 于 只 允许 静态 进程 结构 的 语言 
(例如 occam2)， 就 是 这 种 情况 。 对 于 动态 进程 结构 (也 嵌 套 )， 父 进程 和 监护 者 可 能 相同 ， 也 
可 能 不 同 。 这 一 点 会 在 稍 后 有 关 Ada 的 讨论 中 阐明 。 

图 7-2 包 括 了 上 述 讨论 引入 的 新 状态 。 





图 7-2 进程 的 状态 图 


进程 的 终止 方式 之 一 是 用 应 用 的 中 止 语句 (上 述 (3))。 并 发 编程 语言 中 中 止 的 存在 性 是 
一 个 有 争论 的 问题 ， 并 放 在 第 11 章 有 关 资 源 控制 的 上 下 文中 研究 。 对 于 进程 的 分 级 体系 而 言 ， 
监护 者 的 中 止 通常 是 必要 的 ， 它 隐 含 着 其 所 有 依赖 者 (和 它们 的 依赖 者 等 等 ) 的 中 止 。 

在 上 述 清单 中 终止 的 最 后 一 种 情况 将 在 描述 进程 通信 方法 的 地 方 更 详细 地 考虑 。 从 本 质 
上 说 ， 它 允许 一 个 服务 器 进程 终止 ,如 果 所 有 能 同 它 通信 的 进程 已 经 终止 的 话 。 
进程 与 对 象 

面向 对 象 编程 模式 鼓励 系统 (或 程序 ) 建造 者 将 正在 构建 的 东西 看 成 是 一 组 合作 对 象 的 
(或 者 用 一 个 更 中 性 的 术语 ， 实 体 ) 集合 。 在 此 模式 中 ， 可 考虑 两 类 对 象 一 一 主动 的 和 反应 式 
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的 。 主 动 对 象 执行 自发 的 动作 (在 处 理 器 的 帮助 下 ): 它 能 使 计算 继续 。 与 之 相 比 ， 反 应 式 对 
象 只 在 被 主动 对 象 “ 调 用 ”时 才 执 行动 作 。 另 一 些 编程 模式 (诸如 数据 流 或 实时 网 络 ) 区 分 
主动 的 代理 和 被 动 的 数据 。 

只 有 主动 实体 引起 自发 动作 。 资 源 是 反应 式 的 ， 但 可 以 控制 对 它们 的 内 部 状态 (和 它们 
控制 的 所 有 实在 资源 ) 的 访问 。 某 些 资源 在 一 个 时 刻 只 能 被 一 个 代理 使 用 ; 在 其 他 情况 下 ， 
在 给 定时 刻 可 以 进行 的 操作 取决 于 资源 的 当前 状态 。 后 者 的 常见 例子 是 数据 缓冲 区 如 果 它 
是 空 的 ， 就 不 能 从 中 取出 元 素 。 被 动 这 个 术语 被 用 于 指明 那 种 能 够 允许 开放 式 访问 的 反应 式 
实体 。 

资源 实体 的 实现 需要 某 种 形式 的 控制 代理 。 如 果 控 制 代理 本 身 是 被 动 的 ( 像 信号 量 )， 则 
此 资源 被 称 为 保护 式 的 (或 同步 式 )。 或者， 如 果 需 要 主动 代理 去 编码 正确 的 控制 级 别 ， 则 这 
个 资源 在 某 种 意义 上 是 主动 的 。 服 务 器 这 个 术语 被 用 于 标识 这 种 类 型 的 实体 ， 而 保护 性 资源 
用 于 指示 被 动 资源 。 这 两 个 术语 ， 连 同 主动 和 被 动 ， 是 本 书 中 用 到 的 四 种 抽象 程序 实体 。 

在 并 发 编程 语言 中 ， 主 动 实体 是 由 进程 表示 的 。 被 动 实体 可 被 直接 表示 成 数据 变量 或 由 
某 种 模块 / 包 / 类 构造 封装 ， 它 们 提供 一 个 过 程 性 接口 。 保 护 性 资源 也 可 被 封装 在 像 模 块 的 构造 
中 ， 并 需要 用 到 低级 同步 设施 。 服 务 器 ， 由 于 需要 编制 控制 代理 ， 需 要 进程 。 

语言 设计 者 的 一 个 关键 问题 是 是 否 对 保护 性 资源 和 服务 器 的 原 语 都 提供 支持 。 由 于 资源 
在 典型 情况 下 使 用 低级 控制 代理 (例如 ， 信 号 量 )， 通常 它们 都 能 高 效 地 实现 (至少 在 单 处 理 
器 系统 上 )。 但 它们 可 能 不 灵活 ， 并 对 某 些 种 类 的 问题 产生 不 良 的 程序 结构 (这 在 第 8 章 中 进 
一 步 讨论 )。 服 务 器 ， 由 于 其 控制 代理 用 进程 编制 ， 是 特别 灵活 的 。 这 种 方法 的 缺点 是 它 可 能 
导致 进程 的 增生 ， 带 来 执行 期 间 的 大 量 上 下 文 切换 。 如 果 语 言 不 支持 保护 性 资源 ， 因 而 对 所 
有 这 样 的 实体 就 必须 使 用 服务 器 ， 这 就 特别 成 问题 了 。 如 我 们 将 在 本 章 和 第 8 章 、 第 9 章 阐明 
的 ，Ada、Java 和 POSIX 支 持 所 有 这 些 种 类 的 实体 。occam2 则 不 间 ， 只 支持 服务 器 。 

7.3 进程 表示 

表示 并 发 执行 有 三 种 基本 的 机 制 : 分 叉 与 汇合 (fork and join)、cobegin 和 显 式 进 程 声明 。 
合作 例 程 (coroutine) 有 时 也 被 用 作 一 种 表达 并 发 执行 的 机 制 。 
7.3.1 合作 例 程 

合作 例 程 同 子 例 程 相像 ， 但 允许 在 它们 之 间 以 一 种 对 称 的 而 不 是 严格 层次 化 的 方式 显 式 传 
递 控制 。 借 助 于 resume 语 句 使 控制 从 一 个 合作 例 程 传递 给 另 一 个 合作 例 程 ，resume 语 名 指出 
要 恢复 的 合作 例 程 的 名 字 。 当 合作 例 程 执行 恢复 时 ， 它 就 停止 执行 并 保留 局 部 状态 信息 ， 这 
样 若 有 另 一 个 合作 例 程 随后 “恢复 ” 它 ， 它 就 能 继续 执行 。 图 7-3 说 明了 三 个 合作 例 程 的 执行 ， 
编 了 号 的 箭头 代表 控制 流 : 从 合作 例 程 A 开始 ， 在 合作 例 程 B 完 成 (两 次 访问 了 合作 例 程 C)。 

每 个 合作 例 程 可 以 被 看 作 实 现 一 个 进程 ， 然 而 它们 不 需要 运行 时 支持 系统 ， 因 为 合作 例 
程 自身 排 好 了 执行 顺序 。 显 然 ， 合 作 例 程 对 于 真正 的 并 行 处 理 是 不 合适 的 ， 因 为 它们 的 语义 
只 允许 一 次 执行 一 个 例 程 。Modula-2 是 支持 合作 例 程 的 例子 。 

7.3.2 分 叉 与 汇合 

这 种 简单 方法 不 提供 进程 的 可 见 实体 ， 而 只 支持 两 个 语句 。fork 语 名 指明 一 个 指名 的 侈 程 

应 当 同 该 fork 语 句 的 调用 者 并 发 执行 。join 语 名 允许 调用 者 同 被 调用 例 程 的 完成 同步 。 例 如 : 








Jf Xu 141 











图 7-3 合作 例 程控 制 流 


function F return...; 


end F; 


procedure P; 


C:- fork F; 


J:= join C; 
end P; 


在 fork 和 join 的 执行 中 间 ， 过 程 P 和 函数 F 是 并 发 执行 的 。 在 汇合 点 ， 该 过 程 将 等 待 函数 的 完成 
(如 果 还 没有 完成 的 话 )。 图 7-4 说 明了 分 又 与 汇合 的 执行 。 





分 又 分 叉 

F P 
1 汇合 了 进程 
| 执行 
I 
1 
| Le s 进程 

| 挂 起 
时 间 
父 进程 先 请 求 汇合 子 进程 汇合 前 完 


图 7-4 分 又 和 汇合 
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分 又 和 汇合 记号 可 在 Mesa 语 言 中 找到 。 分 又 和 汇合 的 另 一 个 版 本 也 可 在 POSIX 中 找到 ， 
在 这 里 ，fork 用 于 创建 调用 者 的 副本 ， 而 wait 系 统 调 用 提供 有 效 的 汇合 。 

分 又 和 汇合 允许 动态 进程 创建 ， 并 提供 通过 参数 向 子 进程 传送 信息 的 手段 。 通 常 子 进程 
在 终止 时 只 返回 一 个 单一 的 值 。 虽 然 灵 活 ， 但 分 又 和 汇合 没有 为 进程 创建 提供 一 个 结构 化 方 
法 ， 并 在 使 用 时 易于 出 错 。 例 如 ， 监 护 者 必须 显 式 地 使 所 有 眷属 “重新 汇合 ”， 而 不 只 是 等 待 
它们 的 完成 。 


7.3.3 cobegin 
cobegin (或 者 parbegin 或 者 par) 是 表示 一 组 语句 的 并 发 执行 的 一 种 结构 化 方式 : 
cobegin 
Sl; 
S2; 
83; 
Sn 
coend 


这 段 代码 使 语句 Ss1，S2 等 等 并 发 地 执行 。 当 所 有 并 发 执行 都 已 终止 时 cobegin 语 句 终止 。 
每 个 Si 语句 可 以 是 语言 允许 的 任何 结构 ， 包 括 简单 赋值 或 过 程 调用 。 如 果 使 用 过 程 调用 ， 数 
据 可 经 由 调用 的 参数 传送 给 被 调用 进程 。cobegin 语 句 甚至 可 包含 语句 序列 ， 而 语句 序列 本 身 
内 部 又 有 cobegin。 可 以 以 这 种 方式 支持 进程 的 层次 体系 。 图 7-5 说 明 了 cobegin 语 句 的 执行 。 


cobegin 


时 间 





图 7-5 cobegin 
cobegin 可 在 occam2 中 找到 。 
7.3.4 显 式 进程 声明 


虽然 利用 cobegin 或 fork 能 使 顺序 例 程 得 以 并 发 执行 ， 但 如 果 例 程 自身 说 出 它们 是 否 并 发 
执行 ， 那 么 并 发 程序 的 结构 就 会 清楚 得 多 。 显 式 进程 声明 提供 这 种 设施 。 下 面 的 例子 是 用 
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Modula-! 写 的 。 它 是 机 器 人 手臂 控制 器 的 一 个 简单 结构 。 每 一 维 的 运动 用 一 个 单独 的 进程 控 
制 。 这 些 进 程 循 环 往复 ， 每 次 读 人 维 的 新 设 定 ， 然 后 调用 低级 过 程 nove_arm 使 手臂 运动 。 


MODULE main; 
TYPE dimension = (xplane, yplane, zplane); 


PROCESS control (dim : dimension); 


VAR position : integer; (* 绝对 位 置 *) 

setting : integer; (* 相对 运动 *) 
BEGIN 

position := 0; (* 休息 位 置 *) 
LOOP 


move_arm (dim, position); 
new_setting (dim, setting); 
position := position + setting 
END 
END control; 


BEGIN 
control (xplane); 
control (yplane); 
control (zplane) 
END main. 


在 上 述 程 序 中 ， 声 明了 进程 contro1l， 并 带 有 一 个 创建 时 要 传递 的 参数 。 接 着 创建 该 进程 的 
三 个 实例 ， 每 个 实例 传送 一 个 不 同 的 参数 。 

支持 显 式 进程 声明 的 其 他 语言 还 有 隐 式 任务 创建 ， 例 如 Ada。 在 一 个 块 结构 中 声明 的 所 有 
进程 在 该 块 的 声明 部 分 末尾 开始 并 发 执行 。 

在 上 述 讨 论 中 ， 简 述 了 并 发 执行 的 基本 模型 ， 列 出 了 支持 具体 特性 的 语言 。 为 了 给 出 实 
际 编程 语言 的 具体 例子 ， 下 面 将 研究 occam2、Ada 和 Java 的 并 发 执行 ， 接着 考察 POSIX 的 并 发 
执行 。 
7.3.5 occam2 的 并 发 执行 

occam2 使 用 一 个 叫做 PAR 的 cobegin 结 构 。 例 如 ， 考 虑 两 个 简单 赋值 (A:=1 和 B:=1) 的 
并 发 执行 : 


PAR 


SEQ 


注意 ， 必 须 把 一 组 动作 显 式 定义 成 顺序 执行 还 是 并 行 执行 。 确实 ， 可 以 认为 PAR 是 一 种 更 一 
般 的 形式 ， 而 且 对 使 用 来 说 应 当 是 自然 的 结构 ， 除非 有 问题 的 实际 代码 需要 是 顺序 的 。 

如 果 用 PRR 指 名 的 进程 是 一 个 参数 化 PRoc GER) 的 实例 ， 则 在 进程 被 创建 时 可 以 传递 
数据 给 它 。 例 如 ， 下 面 的 代码 由 同一 个 简单 的 PRoc 创建 三 个 进程 ， 并 为 每 个 进程 传递 一 个 数 
组 元 素 : 
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PAR 
ExampleProcess (A[1]) 
ExampleProcess (A[2]) 
ExampleProcess (A[3]) 


还 可 以 用 一 个 “重复 器 ”(replicator) 增加 PAR 的 能 力 ， 从 同一 个 PROC 创 建 一 大 堆 进 程 : 


PAR i-1 FOR N 
ExampleProcess (A[i]) 


在 第 3 章 ， SEOMRA BME, DLSDIERRSER “for” ER. E ISEQRUE AN 
PRR 之 间 的 惟一 区 别 是 重复 次 数 (在 上 例 中 的 N) ， 对 于 PAR， 它 必须 是 个 常数 ， 即 在 编译 时 
知道 它 的 值 。 因 此 ，occam2 具 有 静态 进程 结构 。 

下 面 的 occam2 程 序 段 是 前 面 为 Modula-1 给 出 的 机 器 人 手臂 的 例子 。 注 意 ，occam2 不 支持 
枚 举 类 型 ， 所 以 用 整数 1、2、3 表 示 维 数 。 


PROC control (VAL INT dim) 


INT position, -- 绝对 位 置 
setting: -- 相对 运动 
SEQ 
position := 0 -- KEE 
WHILE TRUE 
SEQ 


MoveArm (dim, position) 
NewSetting (dim, setting) 
position := position + setting 


PAR 
control (1) 


control (2) 
control (3) 


在 occam2 中 ， 进 程 终止 是 十 分 直截了当 的 。 既 没有 中 止 设施 也 没有 任何 异常 设施 。 进 程 
必须 要 么 正常 终止 ， 要 人 么 根本 不 终止 (如 上 例 )。 

一 般 说 来 ，occam2 具 有 细 粒 度 并 发 性 。 大 多 数 并 发 编程 语言 都 为 本 质 顺 序 性 的 框架 填 加 
进程 概念 。occam2 不 是 这 样 的 ， 进 程 概念 是 该 语言 的 基础 。 所 有 活动 ， 包 括 赋值 操作 和 过 程 
调用 都 被 看 作 进程 。 确 实 ，occam2 中 没有 语句 概念 。 一 个 程序 就 是 单个 进程 ， 它 是 由 其 他 进 
程 的 层次 结构 建立 的 。 在 最 低层 次 ， 所 有 的 基本 动作 被 看 作 是 进程 (IF. WHILE. CASE 
等 )， 且 构造 器 本 身 被 看 作 是 构造 器 进程 。 

7.3.6 Ada 的 并 发 执行 


并 行 性 的 常规 单元 即 顺序 进程 ， 在 Ada 中 称 为 任务 。 任 务 可 在 任何 程序 层次 声明 ， 它 们 在 
进入 它们 的 声明 的 作用 域 时 被 隐 式 创建 。 下 例 说 明了 包含 两 个 任务 (AIB) 的 过 程 : 
Procedure Examplel is 


task A; 
task B; 


task body A is 
-- 任务 A 的 局 部 声明 


begin 








JE He He 145 


-- 任务 A 的 庄 句 序列 
end A; 


task body B is 
-- 任务 B 的 局 部 声明 
begin 

-- 任务 B 的 诸 句 序列 
end B; 


begin 
-- (RTE RINT A, (Ea 和 B 开始 它们 的 执行 


end Examplel; -- 直到 任务 & 和 B 终 止 ， 此 过 程 才 终 目 

任务 像 包 一 样 ， 由 规格 说 明和 体 组 成 。 然 而 ， 可 在 创建 时 传递 初始 化 数据 给 它们 。 

在 上 面 的 程序 中 ， 任 务 R& 和 B (在 过 程 被 调用 时 创建 ) 被 说 成 属于 无 名 类 型 ， 因 为 它们 没 
有 一 个 为 它们 声明 的 类 型 (与 无 名 数组 类 型 比较 )。 容 易 给 A 和 B 以 类 型 ; 


task type A_Type; 
task type B Type; 
A : A Type; 
B : B Type; 
task body A Type is 
-- A 任务 体 同 前 
task body B Type is 
-- B 任 务 体 同 前 
有 了 任务 类 型 ， 就 可 以 用 数组 声明 同一 进程 的 多 个 实例 : 
task type T; 
A, B : T; 
type Long is array (1..100) of T; 
type Mixture is 
record 
Index : Integer; 
Action : T; 
end record; 
L : Long; M : Mixture; 
task body T is ... 


在 Ada 程 序 中 使 用 任务 的 较 具 体例 子 是 早 些 时 候 为 Modula-1 和 occam2 引 人 的 机 器 人 手 辟 
系统 。 


procedure Main is 
type Dimension is (Xplane, Yplane, Zplane); 
task type Control (Dim : Dimension); 
Cl : Control (Xplane); 
C2 : Control (Yplane); 
C3 : Control (Zplane); 


task body Control is 
Position : Integer; -- AHH 
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Setting : Integer; -- 相对 运动 
begin 
Position := 0; -- 休息 位 置 
loop 


Move_Arm (Dim, Position); 
New_Setting (Dim, Setting); 
Position := Position + Setting; 
end loop; 
end Control; 
begin 
null; 
end Main; 


值得 注意 的 是 ，Ada 只 允许 离散 类 型 和 访问 类 型 作为 任务 的 初始 化 参数 传递 。 

通过 给 (任务) 数组 界 以 非 静 态 值 ， 就 创造 了 动态 个 数 的 任务 。 动 态 任务 创建 可 以 通过 
对 《任务 类 型 的 ) 访问 类 型 使 用 “new” 运 算 符 显 式 地 得 到 ( 译 者 注 一 -即使 用 分 配器 ): 

procedure Example2 is 


task type T; 
type A is access T; 


P: A; 
Q : As= new T; 
begin 


P:= new T; 
Q:= new T; 


end Example2; 


Q 被 声明 为 类 型 A， 并 被 赋 以 T 的 新 分 配 的 “ 值 ” 。 这 就 创建 了 一 个 任务 ， 并 立即 开始 它 的 初 
始 化 和 执行 ， 此 任务 用 Q.all 指 名 (ail 是 Ada 的 一 个 命名 约定 ， 用 于 指向 任务 本 身 ， 而 非 访 
问 指针 )。 在 此 过 程 执行 中 ，P 被 分 配 了 一 个 任务 (P.all)， 接 着 又 分 配 了 一 个 给 9。 现 在 ， 
在 该 过 程 中 有 三 个 任务 在 活动 : P .all、Q.all 和 人 先前 创建 的 任务 。 这 个 最 先 创 建 的 任务 现 
在 无 名 ， 因 为 不 再 指向 它 。 除 了 这 三 个 任务 ， 还 有 一 个 任务 即 执行 过 程 代码 本 身 的 主 程序 ， 
所 以 ， 总 共有 四 条 不 同 的 控制 线程 。 

由 分 配器 (‘new’) 操作 创建 的 任务 有 一 个 重要 性 质 : 作为 其 监护 者 (Ada 叫 做 主宰 
(master)) 的 块 ， 并 非 是 创建 它 的 块 而 是 包含 有 访问 类 型 声明 的 块 。 为 说 明 这 一 点 ， 考 虑 下 
面 的 程序 段 : 


declare 

task type T; 

type A is access T; 
begin 


declare -- ABR 
X : T; 
Y : A:= new T; 

begin 





HKN 147 


-- 语句 序列 
end; -- 必须 等 待 X 终止 ， 但 不 需 等 待 Y.al1 终 目 


-- Y.all 可 能 仍然 是 活动 的 ， 虽 然 名 字 Y 已 经 出 了 作用 域 


end; -- 必须 等 待 Y.all 终止 
虽然 X 和 Y .al1l 都 在 内 层 块 创建 ， 却 只 有 X 将 此 块 作为 其 主宰 。 任 务 Y .al1 被 看 作 是 外 层 块 的 
眷属 ， 因 而 它 不 影响 内 层 块 的 终止 。 

如 果 一 个 任务 在 初始 化 (Adarp iUd ) 时 就 失败 了 ， 则 该 任务 的 父 任 务 就 引发 异常 
Tasking_Brror。 例 如 ， 如 果 给 一 个 变量 赋 以 不 合适 的 初始 值 ， 就 会 发 生 这 种 情况 。 一 旦 
任务 开始 真正 执行 ， 它 就 能 捕获 任何 它 引发 的 异常 。 

1. 任务 标识 

访问 变量 的 一 个 主要 用 途 是 提供 任务 命名 的 另 一 种 手段 。Ada 的 所 有 任务 类 型 都 被 看 作 是 
FIREA (limited private) 的 ， 所 以 不 可 能 通过 赋值 将 任务 传递 给 另 一 数据 结构 或 程序 单元 。 
例如 ， 如 果 Robot_Arm 和 New_Arm 是 同一 访问 类 型 (该 访问 类 型 是 从 一 个 任务 类 型 得 到 的 ) 
的 两 个 变量 ， 那 么 下 列 的 语句 是 不 合法 的 : 


Robot Arm.all :=New Arm.all; --djEikAdafthüg 
然而 ， 
Robot_Arm := New_Arm; 


是 合法 的 ， 并 意味 着 现在 Robot_Arm 和 New_Arm 都 指向 同一 任务 。 这 里 必须 小 心 ， 因 为 重 
复命 名 会 引起 混乱 ， 并 导致 程序 难以 理解 。 此 外 ， 有 些 任务 会 没有 任何 访问 指针 指向 它 ， 这 
种 任务 被 称 为 无 名 的 。 例 如 ， 如 果 Robot_Arm 指 向 一 个 任务 ， 当 它 被 重 写 为 New_Arm 肝 ， 
前 一 个 任务 就 变 成 无 名 的 ， 因 为 没有 别 的 指针 指向 它 。 
在 某 些 情况 下 ， 使 任务 有 一 个 独特 的 标识 符 (而 不 是 一 个 名 字 ) 是 很 有 用 的 。 例 如 ， 服 
务 器 通常 不 关心 客户 任务 的 类 型 。 确 实 ， 在 下 一 章 讨论 通信 和 同步 时 ， 将 会 看 到 服务 器 并 不 
直接 知道 它 的 客户 是 谁 。 然 而 ， 也 有 些 偶然 情况 ， 服 务 器 需要 知道 正 与 之 通信 的 任务 是 不 是 
前 一 个 与 之 通信 的 任务 。 虽 然 核心 Ada 语 言 未 提供 这 种 设施 ， 但 系统 编程 附件 (Systems 
Programming Annex) 提供 一 种 机 制 ， 使 任务 可 以 得 到 自己 的 惟一 标识 。 这 个 标识 可 被 传送 给 
其 他 任务 : 
package Ada.Task Identification is 
type Task_Id is private; 
Mull Task Id; constant Task Id; 
function "-" (Left, Right : Task Id) return Boolean; 
function Current Task return Task Id; 
-- 返回 调用 任务 的 独特 Id 
-- 同 此 讨论 无 关 的 其 他 功能 


private 


end Ada.Task_Identification; 


除 这 个 包 之 外 ， 该 附件 还 支持 两 个 属性 : 
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1) 对 任务 类 型 的 任何 前 弘 T，T'Identity 返 回 类 型 Task_Id 的 值 ， 它 等 于 由 T 标 记 的 任 
务 的 惟一 标识 符 。 

2) 对 于 标记 入 口 声 明 的 前 缀 E，E .Caller 返 回 类 型 Task_Id 的 值 ， 它 等 于 恋 入 口 调用 正 
为 之 服务 的 那个 任务 的 惟一 标识 符 。 此 属性 仅 可 在 入 口 体 或 接受 语句 内 部 使 用 ( 见 第 8、9 章 )。 

在 使 用 任务 标识 符 时 必须 要 小 心 ， 因 为 不 能 保证 在 其 后 的 某 个 时 刻 任 务 仍 是 活动 的 或 仍 
在 作用 域 中 。 

2. 任务 终止 

考虑 过 创建 和 表示 之 后 ， 剩 下 的 问题 就 是 任务 终止 了 。Ada 提 供 了 多 种 选择 ，… 个 任务 将 
终止 ， 如 果 : 

1) 它 完 成 了 其 任务 体 的 执行 (或 者 正常 地 ， 或 者 作为 未 处 理 异 常 的 结果 ) ; 

2) 它 执行 了 选择 语句 的 一 个 “终止 ”选项 (在 9.4.2 节 解释 )， 因 而 隐 含 着 不 再 需要 它 ; 

3) 它 被 中 止 。 

如 果 未 处 理 的 异常 导致 了 任务 的 终止 ， 则 该 错误 的 影响 被 隔离 在 那个 任务 中 。 另 一 个 任 
务 〈 可 通过 一 个 属性 ) 能 够 查询 一 个 任务 是 否 已 经 终止 。 

if T' Terminated then -- 对 于 菜 个 任务 T 

-出错 恢复 动作 

end if; 

然而 ， 查 询 任务 不 能 区 分 其 他 任务 是 正常 终止 还 是 出 错 终止 。 

任务 可 以 中 止 其 名 字 在 作用 域内 的 任何 其 他 任务 。 当 一 个 任务 被 中 止 时 ， 所 有 其 依赖 者 
都 被 中 止 。 中 止 设 施 使 得 能 够 消除 违背 愿望 的 任务 。 然 而 ， 如 果 一 个 不 良 任务 是 无 名 的 ， 因 
而 不 能 被 命名 ， 也 就 无 法 中 止 它 〈 除 非 它 的 主宰 被 中 止 )。 所 以 ， 理想 的 办 法 是 只 让 终止 了 的 
任务 是 无 名 的 。 
7.3.7 _ Java 的 并 发 执行 


Java 有 一 个 预定 义 类 java .1lang .Thread， 它 提供 用 于 线程 (进程 ) 创建 的 机 制 。 然 而 ， 
为 避免 所 有 线程 成 为 phread 的 子 类 ，Java 还 提供 了 一 个 标准 接口 ， 叫 做 Runnable， 


public interface Runnable{ 
public abstract void run (); 
} 


所 以 ， 想 要 表达 并 发 执行 的 类 都 必须 实现 这 个 接口 并 提供 方法 run。 在 程序 7-1 中 给 出 的 
类 Thread 就 是 这 样 做 的 。 


程序 7-1 Java 的 Thread 类 


public class Thread extends Object implements Runnable 
{ 

// 和 构造 器 

public Thread (); 

public Thread (String name); 

public Thread (Runnable target); 

public Thread (Runnable target, String name); 


public Thread (ThreadGroup group, String name); 
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// 抛 出 SecurityException, IllegalThreadStateException 
public Thread (ThreadGroup group, Runnable target); 

// fuliSecurityException, IllegalThreadStateException 

public Thread (ThreadGroup group, Runnable target, String name); 
// fiiiSecurityException, IllegalThreadStateException 


public void run (); 
public native synchronized void start (); 
// fHilllegalThreadStateException 


public static Thread currentThread (); 
public final void join () throws InterruptedException; 
public final native boolean isAlive O; 


public void destroy (); 
// 抛 出 SecurityException; 


public final void stop (); 
// 抛 出 SecurityException 
// 已 免除 (DEPRECATED) 


public final synchronized void stop (Throwable 0); 
// 抛 册 SecurityException， NullPointerException 


// 已 免除 


public final void setDaemon (); 


// 抛 出 SecurityException, IllegalThreadStateException 
public final boolean isDaemon (); 
// 将 在 本 书 中 介绍 的 其 他 方法 ~- 完 整 的 类 描述 见 附录 A 


// 注意 RuntimeExceptions 不 作为 方法 说 明 的 一 部 分 列 出 。 
// 这 里 作为 注解 表示 出 来 





Thread 是 Object 的 一 个 子 类 。 它 提供 若干 构造 器 方法 和 一 个 run 方 法 。 使 用 这 些 构造 
器 ， 可 以 以 两 种 方式 创建 线程 (线程 组 在 本 节 稍 后 予以 沽 虚 )。 

第 一 种 方式 是 声明 一 个 类 是 Thread 的 子 类 ， 并 覆盖 run 方 法 。 然 后 就 可 以 分 配 该 子 类 的 
一 个 实例 ， 并 开始 执行 。 例如 ， 在 机 器 人 手臂 的 例子 中 ， 假 定 有 如 下 的 类 和 对 象 可 用 : 


public class UserInterface 
{ 


public int newSetting (int Dim) { ... } 


} 


public class Arm 
{ 


public void move (int dim, int pos) { ... } 
} 


UserInterface UI = new UserInterface 0; 
Arm Robot - new Arm (0: 
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在 作用 域 中 有 了 上 面 的 类 ， 下 面 将 声明 一 个 可 用 于 表示 三 个 控制 器 的 类 。 
public class Control extends Thread 


{ 
private int dim; 


public Control (int Dimension) // 构造 器 
{ 

super (); 

dim = Dimension; 


} 
public void run () 
{ 
int position = 0; 
int setting; 


while (true) 

{ 
Robot.move (dim, position); 
setting = UI.newSetting (dim); 
position = position + setting; 


} 
} 
现在 可 创建 三 个 控制 器 : 


final int xPlane = 0; // final 指出 是 常数 
final int yPlane = 1; 
final int zPlane - 2; 


Control Cl - new Control (xPlane); 
Control C2 - new Control (yPlane); 
Control C3 - new Control (zPlane); 


至 此 ， 线 程 已 创建 ， 已 声明 的 所 有 变量 都 已 初始 化 ， 并 调用 了 类 control 和 Thread 的 构造 
器 方法 (Java 称 这 为 新 状态 )。 然 而 ， 线 程 直 到 方法 Start 被 调用 才 开 始 执行 S: 

Ci.start (); 

C2.start (); 

C3.start (); 
注意 ， 如 果 方 法 xun 是 显 式 调 用 的 ， 代 码 就 顺序 执行 。 

创建 进程 的 第 二 种 方式 是 声明 一 个 实现 Runnable 接 口 的 类 。 然 后 就 可 以 分 配 该 类 的 一 
个 实例 ， 并 在 线程 对 象 的 创建 过 程 中 被 作为 变 元 传递 。 记 住 ，Java 线 程 不 是 在 其 关联 对 象 被 
创建 时 被 自动 创建 的 ， 而 必须 用 start 方 法 显 式 创建 并 开始 执行 。 


Public class Control implements Runnable 


t 


private int dim; 





O 方法 Start 有 native 和 synchronized 修 饰 符 。 修饰 符 native 指 出 方法 的 体 是 用 不 同 语言 提供 的 。 修 饰 符 
synchronized 用 于 得 到 对 对 象 的 互 斥 访 问 。 将 在 8.8 节 详细 考虑 start 方 法 。 
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public Control (int Dimension) // 构造 器 
{ 
dim Dimension; 


} 


public void run () 
{ 
int position = 0; 
int setting; 


while (true) 
{ 
Robot.move (dim, position); 
setting = UI.newSetting (dim); 
position = position + setting; 
} 
) 
) 
现在 可 以 创建 三 个 控制 器 : 
final int xplane 0; 
1; 
2; 


final int yplane 


ul gw og 


final int zPlane 


Control Cl = new Control (xPlane); // 还 没有 创建 进程 
Control C2 - new Control (yplane); 
Control C3 = new Control (zPlane); 


接着 创建 相关 线程 并 开始 执行 ; 


// 构造 器 传递 了 一 个 Runnable 接口 ， 并 创建 了 线程 
Thread X = new Thread (C1); 

Thread Y = new Thread (C2); 

Thread Z = new Thread (C2); 

X.start(); // 线程 开始 执行 


Y.start(); 

Z.start(); 

像 Ada 一 样 ，Java 允 许 动态 线程 创建 。 不 同 的 是 ，Java (利用 构造 器 方法 ) 允许 任意 数据 
被 作为 参数 传递 ( 当然， 所 有 对 象 通 过 引用 传递 ， 这 与 Ada 的 访问 变量 类 似 )。 

虽然 Java 允 许 线程 层次 并 创建 线程 组 ， 却 没有 主宰 和 监护 者 概念 。 这 是 因为 Java 靠 垃圾 回 
收 器 清理 不 再 被 访问 的 对 象 。 主 程序 是 个 例外 ， 当 Java 主 程序 的 所 有 用 户 线程 已 经 终止 时 ， 
主 程序 也 就 终止 ( 见 后 面 的 讨论 )。 

一 个 线程 可 以 等 待 另 一 个 线程 (目标 ) 的 终止 ， 办 法 是 对 目标 的 线程 对 象 发 出 join 方法 
调用 。 此 外 ，isAlive 方 法 可 允许 线程 判断 目标 线程 是 否 已 经 终止 。 

1. 线程 标识 

有 两 种 标识 线程 的 方法 。 如 果 线 程 的 代码 是 Thread 类 的 子 类 ， 那 么 ， 可 以 这 样 定义 一 个 
线程 标识 符 : 


Thread threadID; 


Thzead 的 任何 子 类 均 可 被 赋 给 这 个 对 象 (根据 Java 的 参考 语义 )。 注 意 ， 在 线程 代码 是 经 
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由 Runnable 接 口传 送 给 构造 器 的 地 方 ， 线 程 标识 符 就 是 线程 对 象 ， 而 不 是 提供 Runnable 接 
口 的 对 象 。 为 了 定义 一 个 标识 提供 代码 的 对 象 的 标识 符 ， 需 要 定义 一 个 Runnable 接 口 。 
Runnable threadCodeID; 
然而 ， 一旦 得 到 了 对 Runnable 对 象 的 引用 ， 就 不 能 再 显 式 地 在 它 上 面 做 什么 了 。 所 有 线程 
操作 都 由 类 Thread 提 供 。 
当前 运行 线程 的 身份 可 用 方法 currentThread 找 到 。 此 方法 有 一 个 修饰 符 static， 这 
意味 着 对 Thread 对 象 的 所 有 实例 只 有 一 个 方法 。 所 以 ， 总 能 用 类 Thread 调 用 此 方法 。 


2. 线程 终止 
Java 线 程 可 以 以 多 种 方式 终止 : 
201 1) 它 完 成 了 方法 xun 的 执行 ， 或 者 是 正常 终止 ， 或 者 是 作为 一 个 未 处 理 异 常 的 结果 。 


2) 它 的 stop 方 法 被 调用 ， 这 时 方法 xun 即 被 停止 ， 并 在 终止 此 线程 前 将 线程 类 清理 干净 
(释放 它 占有 的 锁 并 执行 可 能 有 的 finally 子 句 )， 该 线程 对 象 成 了 被 回收 的 垃圾 。 如 果 有 一 
个 Throwable 对 象 被 作为 参数 传 给 了 方法 stop， 那 么 该 异常 在 目标 线程 中 被 抛 出 。 这 样 就 
能 更 得 体 地 退出 方法 run 并 清理 自己 S。 方 法 stop 本 来 就 不 安全 ， 因 为 它 释放 对 象 上 的 锁 ， 
并 能 使 这 些 对 象 处 于 不 一 致 的 状态 。 因 此, 这 个 方法 被 认为 是 过 时 的 (Java 叫做 “已 免除 的 ” ) ， 
因而 不 应 再 用 它 。 

3) 它 的 destroy 方 法 被 调用 (或 者 由 其 他 线程 或 者 就 是 它 自己 ) —destroyftiEZ& 
程 ， 使 线程 对 象 没 有 机 会 进行 清理 。 这 个 方法 在 Java 虚 拟 机 中 看 来 从 未 被 实现 。 

虽然 看 起 来 (3) 意味 着 任意 线程 能 够 破坏 别 的 线程 ， 程 序 可 通过 若干 机 制 提供 某 些 防 
护 : 

“在 创建 新 线程 时 覆盖 这 个 方法 ， 并 在 此 方法 内 采取 某 些 赫 代 动作 ; 

。 使 用 线程 组 限制 访问 ; 

* 把 该 线程 包含 在 另 一 个 类 中 ， 只 允许 某 些 操 作 被 传递 到 该 线程 。 

只 有 后 两 种 方法 可 与 方法 stop 一 起 使 用 ， 因 为 它们 被 标志 成 final， 因 而 不 能 被 覆盖 。 

Java 线 程 有 两 种 类 型 : 用 户 线程 和 守护 (daemon) 线程 。 守 护 线程 是 那 种 提供 通用 服务 
并 一 般 不 会 终止 的 线程 。 所 以 ， 当 所 有 用 户 线程 已 经 终止 时 ， 守 护 线程 也 会 终止 ， 且 主 程序 
也 终止 《守护 线程 提供 与 Ada 的 选择 语句 中 的 “or terminate” 相 同 的 功能 见 9.4.2 节 )。 在 
线程 开始 前 必须 调用 方法 setDaemon。 

3. 线程 组 

线程 组 允许 将 线程 集合 组 成 组 ， 并 作为 组 而 不 是 个 体 处 理 。 它们 还 提供 一 种 谁 对 什么 进 
程 做 些 什么 的 限制 手段 。Java 中 每 个 线程 都 是 线程 组 的 成 员 。 同 主 程序 关联 的 是 一 个 默认 的 

组 ， 所 以 除非 另外 指明 ， 所 有 被 创建 的 进程 都 属于 这 个 组 。 线程 组 由 程序 7-2 给 出 的 类 表示 。 


程序 7-2 线程 组 的 Java 类 摘录 
public class ThreadGroup { 


// 构造 一 个 新 的 线程 组 。 这 个 新 组 的 父亲 是 当前 运行 线程 的 线程 组 。 


public ThreadGroup (String name); 





o SEXE. RAPRA Hikstopiht, si ThreadDeathBbWtH. ubErrorfü—4-T3k, MEKAH 
程序 捕获 (916.3235). . 
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// 创建 … 个 新 的 线程 组 。 这 个 新 组 的 父亲 是 指定 的 线程 组 。 
public ThreadGroup (ThreadGroup parent, String name); 
// Wd:MiiSecurityException 


// 返回 这 个 线程 组 的 父亲 。 
public final ThreadGroup get Parent (); 


// 检验 这 个 线程 组 是 不 是 一 个 守护 线程 组 。 


public final boolean isDaemon (); 


// 检验 这 个 线程 组 是 从 已 经 被 破坏 。 


public synchronized boolean isDestroyed (); 


// 改变 这 个 线程 组 的 守护 状态 。 
public final void setDaemon (boolean daemon); 
// WittSecurityException 


// 检验 这 个 线程 组 是 线程 组 变 元 还 是 其 一 个 祖先 线程 组 。 
public final boolean parentof (ThreadGroup g); 


// hae Wet A ERIE EA 


public final void checkAccess (); 


/ 返 同 法 线程 组 中 话 动 线程 的 个 数 。 


public int activeCount (); 


/ 返回 该 线程 组 中 活动 线程 组 的 个 数 。 


public int activeGroupCount (); 


// 停止 该 线程 组 中 的 所 有 进程 。 
public final void stop (); 
// jüliSecurityException 


// RZANI A TB. 
public final void destroy (); 
// fit} IllegalThreadStateException 


// 本 节 将 此 介绍 的 其 他 方法 一 完整 类 规格 说 明 见 附录 有 
} 


当 一 个 线程 创建 新 的 线程 组 时 ， 它 是 在 线程 组 里 面 做 这 件 事 的 。 所 以 ， 该 该 新 线程 组 是 当 
前 线程 组 的 儿子 ， 除 非 一 一 个 不 同 的 线程 组 被 作为 参数 传 给 洽 构 造 器 。 用 这 两 种 构造 器 方法 就 能 
建立 线程 组 的 层次 结 SJ. 

当 线 程 被 创建 时 , 就 能 利用 适当 的 Threaa 类 构造 将 它们 放 进 显 式 的 线程 组 里 。stop 或 
destroy RANER (如 果 安 全 管理 员 人 允许 ) 被 应 用 于 组 中 的 所 有 线程 。 

4. 同 线程 有 关 的 异常 

第 6 章 介绍 了 Java 的 RuntimeException ( 运 行 时 异常 )。 下 列 RuntimeException 是 
与 线程 有 关 的 。 

IllegalThreadstateException 在 下 列 情况 被 抛 出 : 

， 调 用 方法 start， 而 线程 已 经 启动 了 ; 

“ 调用 方法 setDaemon ， 而 线程 已 经 启动 了 ; 

“试图 破坏 一 个 非 空 线程 组 ; 

“试图 把 一 个 线程 放 到 线程 组 里 (经 由 Thread 构 造 器 )， 而 该 线程 组 已 经 被 破坏 。 





t2 
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SecurityException 在 下 列 情况 由 安全 管理 器 抛 出 8: 
Ă. 已经 调用 了 Thread 构造 器 ， 而 它 请 求 要 把 创建 的 线程 放 进 一 个 它 没有 许可 的 线程 组 ; 
* 对 线程 调用 方法 stop 或 destroy， 而 调用 者 没有 所 请 求 操作 的 正当 许可 ; 
* 调用 ThreadGroup 构 造 器 ， 并 要 求 新 创建 线程 组 的 父 组 是 一 个 调用 线程 组 没有 许可 的 
组 ; 
* 调用 一 个 线程 组 的 方法 stop 或 destroy， 而 调用 者 没有 所 请 求 操作 的 正当 许可 。 
NullPointerException 在 下 列 情况 被 抛 出 : 
* 向 stop 方 法 传递 一 个 空 指针 ; 
"向 父 组 的 ThreadGrouP 构 造 器 传递 一 个 空 指针 。 
InterruptException 在 下 列 情况 被 抛 出 : 车 一 个 已 经 发 出 了 join 方法 的 线程 由 正 被 
中 断 的 线程 唤醒 ， 而 不 是 由 目标 线程 的 终止 唤醒 ( 见 10.9 节 )。 
5. 实时 线程 
Java 编 程 语言 缺乏 为 实时 系统 编程 的 许多 设施 ， 所 以 推出 了 实时 Java。 实 时 Java 产 生 若 干 
新 的 线程 类 ， 这 些 将 在 12.7.3 节 讨论 。 
7.3.8 Ada、Java 和 occam2 的 比较 


上 一 节 给 出 了 occam2、Ada 和 Java 进 程 模型 的 基本 结构 。 然 而 ， 如 果 没 有 进程 之 间 的 通信 ， 
就 不 能 介绍 有 意义 的 程序 ， 这 些 将 在 以 后 弥补 。 即 使 如 此 ， 也 可 能 说 明 occam2、 Ada 和 Java 进 
程 模型 之 间 的 一 些 差 别 。 在 occam2 中 ， 两 个 过 程 调用 明显 地 是 顺序 执行 或 是 并 发 执行 。 

SEQ -- 顺序 形式 

procl 
proc2 


PAR -- 并 发 形式 
procl 
proc2 


用 Ada 实 现 并 发 性 ， 则 需要 引入 两 个 任务 : 
begin -- 顺序 形式 


Procl; 
Proc2; 
end; 


declare -~ 并 发 形式 
task One; 
task Two; 
task body One is 
begin 
procl; 
end One; 
task body Two is 
begin 
Proc2; 


— 
© Java 安 全 管理 器 不 在 本 书 讨论 ， 因为 它 与 Java 在 开放 分 布 式 系统 中 的 使 用 相关 联 的 问题 有 关 。 





JF XA 155 


实际 上 ， 只 用 一 个 Ada 任 务 也 行 ， 并 让 块 语 句 本 身 发 出 另 一 个 调用 。 205 


declare 
task One; 
task body One is 
begin 
Procl; 
end One; 
begin 
Proc2; 
end; 


然而 ， 这 种 形式 就 失去 了 算法 的 逻辑 对 称 性 ， 不 值得 推荐 。 —— 

在 Java 中 ， 有 必要 为 每 个 过 程 创建 一 个 实现 Runnab1le 接 口 的 对 象 。 
public class Procl implements Runnable 
{ 

public void run () 

{ 

// procI 的 代码 

} 

} 


public class Proc2 implements Runnable 
{ 
public void run () 
{ 
// proc2 的 代码 
} 
} 


Procl Pl = new Procl (); 
Proc2 P2 = new Proc2 (); 


// 顺序 形式 
{ 
Pl.run; 
P2.run; 
} 
// 并 发 形式 
Thread T1 = new Thread (P1); 
Thread T2 - new Thread (P2); 


Tl.start (); 
T2.start (); 


7.3.9 POSIX 的 并 发 执行 


实时 POSIX 提 供 三 种 创建 并 发 活动 的 机 制 。 第 一 种 是 传统 的 Unix fork 机 制 (及 其 相关 的 
wait 系 统 调用 )。 这 引起 创建 和 执行 整个 进程 的 一 个 副本 。 fork 的 细节 在 大 多 数 操作 系统 教 
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科 书 中 能 够 找到 (Bilan, Silberschatz and Galvin (1944) )， 这 里 不 予 讨 论 (9.552518 T JH 
fork 创 建 进程 的 例子 )。 第 二 个 是 Spawn 系 统 调用 ， 它 等 价 于 组 合 的 fork 和 join 的 功能 。 

实时 POSIX 还 允许 每 个 进程 包含 执行 的 若干 “线程 ”。 这 些 线程 都 有 权 访问 同一 存储 器 位 
置 并 在 单个 地 址 空间 中 运行 。 因此， 它们 可 同 Ada 任 务 、Java 线 程 和 occam2 进 程 相 比 较 。 程 序 
7-3 说 明了 POSIX 中 线程 创建 的 基本 C 接 口 。 


程序 7-3 C POSIX 的 线程 接口 
eee 


typedef ... pthread t; /* 细节 未 定义 */ 
typedef ... pthread attr t; 
typedef ... size t; 


int pthread attr init (pthread attr t *attr); 
/* 初始 化 由 attt 指 向 的 线程 属性 为 它们 的 默认 值 */ 


int pthread_attr_destroy (pthread_attr_t *attr); 
/* 破坏 由 attz 指 向 的 线程 属性 */ 


int pthread_attr_setstacksize (pthread attr t *attr, 
Size t stacksize); 


/* RRRA h */ 
int pthread attr getstacksize (const pthread attr t *attr, 
Size t *stacksize); 
/* 获取 线程 属性 的 栈 大 小 */ 
int pthread attr setstackaddr (pthread attr t *attr, 
void *stackaddr); 
/* We PEO AR HEHE */ 
int pthread_attr_getstackaddr (const pthread attr t *attr, 


void **stackaddr); 


/* 获取 线程 属性 的 栈 地 址 */ 


int pthread_attr_setdetachstate (pthread attr t *attr, 
int detachstate); 
/* 设置 属性 的 分 离 状态 */ 


int pthread attr getdetachstate (const pthread attr t *attr, 
] int *detachstate); 
/* 获取 属性 的 分 离 状态 */ 
int pthread create (Pthread t *thread, const pthread attr t *attr, 
void * (*start routine) (void *) , void *arg); 
/* 以 给 定 属性 创建 一 个 新 线程 ， 并 以 给 定 变 元 调用 给 定 的 start_routine */ 
int pthread_join (pthread_t thread, void **value ptr); 
/* 挂 起 调用 线程 直到 指名 的 线程 终止 ， 任何 返回 值 由 value_ptr 指向 的 */ 


int pthread exit (void *value ptr); 


* 终止 调用 线程 ， 并 使 指针 value_ptr 对 任何 汇合 线程 都 可 用 */ 


int pthread detach (pthread t thread); 
/* 当 线 程 终止 时 ， 可 以 回收 同 指定 线程 关联 的 存储 空间 */ 


pthread t pthread_self (void); 
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/* 返 问 调用 线程 的 线程 id */ 
int pthread equal (pthread t tl, pthread t t2); 
/* 比较 两 个 线程 的 jds */ 


/* 所 有 上 上述 整 型 吨 数 如 果 成 功 ， 返 回 0， 否则 返回 错误 号 */ 





POSIX 的 所 有 线程 都 有 一 些 属性 (例如 ， 它 们 的 栈 大 小 )。 为 操纵 这 些 属性 ， 必 须 定义 
(类 型 pthread_attr_t 的 ) 属性 对 象 ， 然 后 通过 函数 调用 去 设置 属性 和 获取 属性 。 一 旦 建 
立 起 正确 的 属性 对 象 ， 就 能 创建 一 个 线程 并 传送 适宜 的 属性 对 象 。 每 个 被 创建 线程 有 一 个 关 
联 的 〈 类 型 pthread_t 的 ) 标识 符 ， 对 同一 进程 的 诸 线 程 而 言 ， 这 些 标识 符 是 各 不 相同 的 。 
一 个 线程 可 得 到 它 自己 的 标识 符 (通过 pthread_self)。 

一 个 线程 一 旦 通过 Pthread_create 创 建 ， 就 变 成 适合 执行 的 。 这 里 没有 Ada 激 活 状态 或 
Java 新 状态 的 等 价 物 。 该 函数 有 四 个 指针 变 元 : 一 个 线程 标识 符 (经 调用 返回 )、 一 个 属性 集 、 
一 个 表示 线程 执行 代码 的 函数 和 调用 此 函数 时 传 给 函数 的 参数 集合 。 线 程 可 通过 从 start_ 
routine 返 回 或 调用 pthread_exit 或 接受 一 个 发 送 给 它 的 信号 ( 见 10.6 节 ) 正常 终止 。 它 也 可 
通过 使 用 pthread cancel 中 止 。 一 个 线程 可 通过 pthread_join 国 数 等 待 另 一 线程 的 终止。 

最 后 ,线程 执行 后 的 清除 和 存储 回收 活动 被 称 为 分 离 (detaching )。 有 了 两 种 方法 做 这 件 事 : 
调用 pthread_join 函 数 并 等 待 直到 线程 终止 ,或 是 设置 线程 的 分 离 属性 (或 在 创建 时 或 动 
态 地 调用 pthread_detach 函 数 )。 如 果 设 置 了 分 离 属 性 ,线程 就 不 能 汇合 ， 而 且 在 线程 终 
止 时 其 存储 空间 就 自动 回收 。 

由 POSIX 线 程 提供 的 接口 在 很 多 方面 类 似 于 编译 器 同 其 运行 时 支持 系统 对 接 所 用 的 接 日 。 
确实 ，Ada 的 运行 时 支持 系统 可 用 POSIX 线 程 很 好 地 实现 。 提 供 高 级 语言 抽象 ( 像 Ada、Java 
和 occam2 的 那样 ) 的 好 处 是 它 排除 了 使 用 这 种 接口 时 出 错 的 可 能 性 。 

为 关 明 POSIX 线 程 创建 设施 的 简单 使 用 ， 下 面 显 示 机 器 人 手臂 程序 : 

#include <pthread.h> f 

pthread_attr_t attributes; 

pthread_t xp, yp, Zp; 

typedef enum {xplane, yplane, zplane} dimension; 

int new_setting (dimension D); 

void move arm (dimension D, int P); 


void controller (dimension *dim) 
{ 
int position, setting; 


position = 0; 
while (1) { 
move_arm (*dim, position); 
setting = new_setting (*dim); 
position = position + setting; 
} 
/* 注意 ， 没 有 对 pthread_exit 的 调用 ， 进 程 不 终止 */ 
) 


#include <stdlib.h> 
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int main () { 
dimension X, Y, 2; 
void *result; 


X = xplane, 
Y = yplane; 
Z = zplane; è 
if (pthread attr init (&attributes) ! = 0} 
/* WEB */ 
exit (EXIT FAILURE); 
if (pthread create (&xp, &attributes, 
(void *) controller, &X) != 0) 
exit (EXIT FAILURE); 
if (pthread create (&yp, &attributes, 
(void *) controller, &Y) != 0) 
exit (EXIT FAILURE); 
if (pthread create (&zp, &attributes, 
(void *) controller, &Z) !- 0) 
exit (EXIT FAILURE); 
pthread join (xp, (void **) &result); 


/* 需要 阻塞 十 程序 */ 
exit (EXIT FAILURE); 
/* 出 错 退出 ， 程 序 不 应 当 终止 */ 
209 } 
上 面 的 程序 创建 了 一 个 线程 属性 对 象 ， 并 带 有 一 个 默认 属性 集合 。 对 pthread_create 
的 调用 创建 controller 线 程 的 每 个 实例 ， 并 传递 一 个 指出 操作 域 的 参数 。 如 果 从 操作 系统 返 
回 错误 ， 程 序 通 过 调用 exit 例 程 终止 。 注 意 ， 如 果 终 止 带 有 正在 执行 线程 的 程序 ， 那 将 导致 
那些 线程 被 终止 。 所 以 ， 主 程序 必须 发 出 pthread_join 系 统 调用 ， 即 使 这 些 线程 没有 终止 。 
在 6.1.1 节 给 出 了 处 理 POSIX 返 回 的 错误 的 风格 。 它 假定 每 个 调用 都 定义 一 个 宏 ， 它 检验 
返回 值 和 调用 出 错 处 理 例 程 (车 需要 的 话 )。 所 以 ， 能 够 将 上 述 代码 写成 如 下 更 易 读 的 方式 : 


int main () { 
dimension X, Y, Z; 
void *result; 


X = xplane; 
Y = yplane; 
Z = zplane; 


PTHREAD_ATTR_INIT (&attributes); 


PTHREAD CREATE (&xp, &attributes, (void *) controller, &x); 
PTHREAD CREATE (&yp, &attributes, (void *) controller, &y); 
PTHREAD CREATE (&zp, &attributes, (void *) controller, &z); 


PTHREAD JOIN (xp, (void **) &result); 


) 
最 后 ， 应 当 注意 ， 在 概念 上 ， 将 一 个 包含 多 个 线程 的 进程 (程序 ) 分 叉 是 不 明确 的 ， 因 


为 进程 中 的 某 些 线程 可 能 占有 资源 或 正 执行 系统 调用 。 POSIX 标 准 规定 子 进程 只 有 一 个 线程 
( 见 POSIX 1003.1c (IEEE, 1995)), 
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74 一 个 简单 的 嵌入 式 系统 


为 了 说 明 并 发 编程 的 优 缺 点 ， 现 在 考虑 一 个 简单 腻 和 人 式 系统 。 图 7-6 画 出 该 简单 系统 的 轮 
Hi: 进程 T 从 一 组 热 偶 读 数据 (经 由 模拟 到 数字 的 转换 器 ，ADC)， 并 对 一 个 加 热 器 作 适 当 改 
变 (经 过 一 个 数控 开关 )。 进 程 P 有 类 似 功能 ， 但 是 ， 它 是 对 压力 的 〈 用 一 个 数字 到 模拟 的 转 
换 器 ，DAC)。T 和 P 都 必须 同 S 通 信 ，S 通 过 屏幕 向 操作 员 显 示 测 量 结果 。 注 意 ，P 和 T 是 主动 
的 ，S 是 个 资源 〈 它 只 响应 来 自 TI 和 P 的 请 求 ): 它 可 被 实现 为 一 个 保护 资源 或 服务 器 ， 如 有 果 需 
要 同 用 户 进行 更 广泛 交互 的 话 。 


热 偶 





图 7-6 一 个 简单 伐 入 式 系统 


此 嵌入 式 系统 的 基本 目标 是 使 某 个 化 学 过 程 的 温度 和 压力 保持 在 确定 的 限 值 之 内 。 这 种 
类 型 的 实际 系统 显然 会 更 复杂 些 一 一 例如 ， 人 允许 操作 员 改 变 限 值 。 然 而 ， 即 使 对 这 个 简单 系 
统 ， 实 现 也 可 采取 如 下 三 种 形式 之 一 : 

1) 用 一 个 简单 程序 ， 忽 略 T、P 和 S 的 逻辑 并 发 性 ， 不 需要 操作 系统 的 支持 。 


2) 用 一 个 顺序 编程 语言 写 T、P 和 S (或 者 是 分 离 的 程序 或 者 是 同一 程序 的 不 同 过 程 )， 使 


用 操作 系统 原 语 进行 程序 /进程 的 创建 和 交互 。 
3) 使 用 一 个 单独 的 并 发 程序 ， 保 持 T、P 和 S 的 逻辑 结构 。 程 序 不 需要 操作 系统 的 直接 支 
持 ， 但 需要 一 个 运行 时 支持 系统 。 
为 说 明 这 些 解决 方案 ， 考 虑 用 Ada 代 码 实 现 这 个 简单 的 嵌入 式 系统 。 为 了 简化 控制 软件 的 
结构 ， 假 设 已 经 实现 了 下 面 的 被 动 包 : 
package Data_Types is 
-- 必需 的 类 型 定义 
type Temp_Reading is new Integer range 10..500; 
type Pressure Reading is new Integer range 0..750; 
type Heater Setting is (On, Off); 
type Pressure Setting is new Integer range 0..9; 
end Data Types; 
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with Data Types; use Data Types; 
package IO is 
-- 加 环境 进 行 数据 交换 的 过 程 
procedure Read (TR : out Temp Reading); -- 来 自 ADC 
procedure Read (PR : out Pressure Reading); 
-- iE, AT RRA: 
-- 定义 了 是个 read， 但 它们 有 不 同 的 参数 类 型 ; 
-- 下面 的 write 也 一 样 


procedure Write (HS : Heater Setting); -~ 到 开关 

procedure Write (PS : Pressure Setting); -- 到 DAC 

procedure Write (TR : Temp Reading); -- 到 屏幕 

procedure Write (PR : Pressure Reading); -~ 到 屏幕 
end IO; 


with Data Types; use Data Types; 
package Control Procedures is 

-~ 将 读数 转换 成 适宜 的 设置 以 供 和 输出 的 过 程 

procedure Temp Convert (TR : Temp Reading; 

HS : out Heater Setting); 
procedure Pressure Convert (PR : Pressure Reading; 
PS : out Pressure Setting); 

end Control Procedures; 


1. 顺序 解决 方案 
简单 的 顺序 控制 程序 可 以 有 下 列 结构 : 


with Data_Types; use Data Types; 
with IO; use IO; 
with Control Procedures; use Control Procedures; 
procedure Controller is 
TR : Temp_Reading; 
PR : Pressure Reading; 
HS : Heater Setting; 
PS : Pressure Setting; 


begin 
loop 
Read (TR); -- XH ADCIÜ 
Temp Convert (TR, HS); -- 读数 被 转换 成 设置 
Write (HS); -- 到 开关 
Write (TR); -- 到 屏幕 


Read (PR); -~ 像 上 面 对 压 力 一 样 

Pressure Convert (PR, PS); 

Write (PS); 

Write (PR); 

end loop; -- ERHI, TEAR RC LOU 
end Controller; : 

这 段 代 码 的 直接 不 利 因素 是 温度 和 压力 必须 以 同样 的 速率 读 入 ， 而 这 可 能 同 需 求 不 符合 。 使 
用 计数 器 和 适当 的 i£ 语 句 会 改善 这 种 状况 ， 但 仍 有 必要 将 计算 密集 段 (转换 过 程 Temp_ 
ConvertflPressure Convert) 划分 成 若干 不 同 的 动作 ， 并 交替 执行 这 些 动作 ， 以 满足 
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工作 所 需 的 平衡 。 即 使 这 样 做 了 ， 这 个 程序 结构 也 还 有 一 个 严重 的 缺点 : 在 等 待 读 人 一 个 温 
度数 据 时 ， 就 不 能 注意 到 压力 (反之 亦 然 )。 此 外 ， 如 果 有 一 个 系统 失效 ， 例 如 导致 控制 不 能 
从 温度 的 Read 返 回 ， 那 么 ， 除 了 这 个 问题 之 外 ， 压 力 的 Read 也 就 不 能 进行 了 。 
i 对 此 顺序 程序 的 改进 是 可 以 在 IO 包 中 加 入 两 个 布尔 图 数 Ready_Temp 和 Ready_Pres， 
以 指出 数据 的 可 读 性 。 这 样 ， 控 制程 序 成 为 : 
with Data Types; use Data Types; 
with IO; use IO; 
with Control Procedures; use Control Procedures; 
procedure Controller is 
TR : Temp Reading; 
PR : Pressure Reading; 
HS : Heater Setting; 
PS : Pressure Setting; 
Ready Temp, Ready Pres : Boolean; 
begin 
loop 


if Ready Temp then 
Read (TR); 
Temp Convert (TR, HS); 
Write (HS); -- 假设 write 是 可 靠 的 
Write (TR); 
end if; 
if Ready Pres then 
Read (PR); 
Pressure_Convert (PR, PS); 
Write (PS); 
Write (PR); 
ead if; 
end loop; 
end Controller; 


这 个 解决 方案 更 可 靠 ， 令 人 遗憾 的 是 该 程序 在 一 个 忙碌 的 循环 中 花 了 相当 多 的 时 间 检 查 输入 
设备 是 否 “就 绪 " 。 一 般 来 说 ,“ 忙 等 待 ”的 低 效 是 不 可 接受 的 。 它们 束缚 了 处 理 器 ， 使 它 难 
以 对 等 待 请 求实 施 排队 纪律 。 此 外 ， 依 赖 于 忙 等 待 的 程序 难以 设计 、 理解 或 证 明 其 正确 性 。 

对 顺序 程序 的 主要 批评 是 它 对 压力 和 温度 周期 是 完全 独立 的 子 系统 这 一 事实 毫 无 认识 
在 并 发 编程 环境 中 ， 这 个 问题 可 以 通过 将 每 个 系统 作为 一 个 进程 (或 Ada 中 的 任务 ) 编码 来 
改正 。 

2. 使 用 操作 系统 原 语 

考虑 一 个 类 似 POSIX 的 操作 系统 ， 它 允许 通过 调用 下 述 的 Ada 子 程序 创建 和 启动 一 个 新 进 
程 /线程 : 


package Operating System Interface is 
type Thread_ID is private; 
type Thread is access procedure; -- 一 个 指针 类 型 


function Create Thread (Code : Thread) return Thread ID; 


~~ 用 于 线程 交互 的 其 他 子 程序 


N 
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private 
type Thread_ID is ...; 
end Operating System_Interface; 


现在 ， 该 简单 戏 入 式 系 统 可 实现 如 下 。 首 先 ， 在 包 中 放置 两 个 控制 器 过 程 : 


package Processes is 
procedure Pressure Controller; 
procedure Temp Controller; 


end Processes; 


with Data Types; use Data Types; 
with IO; use IO; 
with Control Procedures; use Control Procedures; 
package body Processes is 
procedure Temp Controller is 
TR : Temp Reading; 
HS : Heater Setting; 


begin 
loop 
Read (TR); 
Temp Convert (TR, HS); 
Write (HS); 
Write (TR); 
end loop; 


end Temp Controller; 


procedure Pressure Controller is 
PR : Pressure Reading; 
PS : Pressure Setting; 
begin 
loop 
Read (PR); 
Pressure Convert (PR, PS); 
Write (PS); 
Write (PR); 
end loop; 
end Pressure Controller; 
end Processes; 


现在 可 给 出 Controller 过 程 : 


with Operating System Interface; use Operating System Interface; 
With Processes; use Processes; 


procedure Controller is 
Tc, Pc: Thread Id; 


begin 
-- 创建 线程 
-- “RARccess 返 回 指向 该 过 程 的 指针 
Tc ;= Create Thread (Temp Controller 'Access); 
Pc := Create_Thread (Pressure Controller 'Access); 


end Controller; 


iiféTemp ControllerfZüPressure Control ler 并 发 地 执行 ， 并 且 每 个 过 程 中 包含 一 
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个 定义 控制 循环 的 无 穷 循环 。 当 一 个 线程 被 挂 起 等 待 一 个 读 人 时 ， 执 行 另 一 个 线程 ; 两 个 线 
程 都 被 挂 起 时 ， 就 不 执行 忙碌 循环 。 
虽然 该 解决 方案 比 顺序 方案 要 好 ， 但 是 ， 缺 乏 表达 并 发 性 的 语言 支持 意味 着 程序 会 变 得 
难以 理解 和 维护 。 对 于 上 面 给 出 的 简单 例子 ， 所 增加 的 复杂 性 还 能 承受 。 然 而 ， 对 于 有 许多 
并 发 进程 和 进程 间 有 瘀 在 复杂 交互 的 大 系统 ， 有 一 个 过 程 性 接口 就 使 程序 结构 变 得 不 清楚 了 。 
例如 ， 哪 个 过 程 是 真正 的 过 程 ， 哪 个 过 程 是 打算 用 于 并 发 活动 的 过 程 就 不 明显 了 。 
3. 使 用 并 发 编程 语言 
在 并 发 编程 语言 中 ， 并 发 活动 可 在 代码 中 显 式 地 标识 出 来 : 
with Data_Types; use Data_Types; 
with IO; use IO; 
with Control Procedures; use Control Procedures; 
procedure Controller is 
task Temp Controller; 
task Pressure Controller; 
task body Temp Controller is 
TR : Temp Reading; HS : Heater Setting; 
begin 
loop 
Read (TR); 
Temp Convert (TR, HS); 


Write (HS); 
Write (TR); 
end loop; 


end Temp Controller; 


task body Pressure Controller is 
PR : Pressure Reading; PS : Pressure Setting; 
begin 
loop 
Read (PR); 
Pressure Convert (PR, PS); 
Write (PS); 
Write (PR); 
end loop; 
+ end Pressure Controller; 


begin 
null; -- Temp Controller 和 Pressure Controller 
-- 已 经 开始 它们 的 执行 

end Controller; ， 
这 样 ， 应 用 过 辑 就 在 代码 中 反映 出 来 了 ， 域 的 固有 并 行 性 通过 程序 中 并 发 执行 的 任务 者 示 出 
来 了 。 ` 

虽然 这 是 一 个 改进 ， 但 是 这 个 双 任务 解决 方案 还 留 下 一 个 大 问题 。remp_controller 和 
Pressure_Controller 二 者 都 向 屏幕 发 送 数据 ， 但 屏幕 是 一 个 资源 ， 显 然 一 次 它 只 能 被 一 个 
进程 访问 。 在 图 7-6 中 ， 对 屏幕 的 控制 交 给 了 第 三 个 实体 (S)， 它 在 程序 中 需要 -个 表示 
Screen_Controller。 这 个 实体 可 以 是 一 个 服务 器 ， 或 是 一 个 保护 对 象 ( 取 决 于 Screen_ 
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Controller 所 需 行为 的 完备 定义 )。 这 就 把 问题 从 对 被 动 资源 的 并 发 访问 转化 为 任务 间 的 通信 ， 
或 者 至 少 是 任务 同 另 外 的 并 发 性 原 语 之 间 的 通信 。 任 务 Temp_Controller 和 Pressure_ 
controller 向 Screen_controller 传 送 数据 是 必需 的 。 此 外 ，Screen_ Controller 
确保 一 次 只 处 理 一 个 请 求 。 这 些 要 求 和 困难 对 于 并 发 编程 语言 的 设计 来 说 是 最 重要 的 ， 并 将 在 
后 续 诸 章 研 究 。 


小 结 


大 多 数 实时 系统 的 应 用 领域 本 来 就 是 并 行 的 。 所以， 在 一 个 实时 编程 语言 中 是 否 包含 进 
216) 程 概念 ， 就 使 得 语言 的 表达 能 力 和 易 用 性 产生 重大 差别 。 这 些 因素 又 对 降低 软件 开发 成 本 ， 
同时 改善 最 终 系统 的 可 靠 性 做 出 重大 贡献 。 

如 果 没 有 并 发 性 ， 就 必须 把 软件 构造 成 一 个 单独 的 控制 循环 。 这 种 循环 的 结构 不 能 保持 
系统 部 件 之 间 的 逻辑 差别 。 如 果 在 代码 中 看 不 到 进程 概念 的 话 ， 就 特别 难于 给 出 面向 进程 的 
时 间 和 可 靠 性 需求 。 

然而 ， 并 发 编程 语言 的 使 用 不 是 没有 代价 的 。 尤 其 是 必须 使 用 运行 时 支持 系统 (或 操作 
系统 ) 以 管理 系统 进程 的 执行 。 

进程 的 行为 最 好 用 状态 描述 ， 本 章 讨 论 了 下 列 状态 : 

“不 存在 

。 被 创建 

。 初 始 化 

。 可 执行 

。 等 待 眷属 的 终止 

"等待 子 进程 初始 化 

。 终 止 

在 并 发 编程 语言 领域 ， 采 用 的 进程 模型 有 很 多 种 ， 可 从 六 个 方面 分 析 它 们 。 

1) 结构 一 -静态 或 动态 进程 模型 

2) 层次 一 一 只 有 顶层 进程 (平坦 的 ) 或 多 层 GEI) 

3) 初始 化 一 一 有 无 参数 传递 

4) 粒度 一 一 细 粒 度 或 粗 粒 度 

5) 终止 一 一 

。 自然 的 
。 自 杀 性 的 
*。 中 止 的 
“未 捕获 出 错 
。 永 不 终止 
“不 再 需要 时 
6) 表示 一 一 合作 例 程 、 分 叉 /汇合 、cobegin， 显 式 进程 声明 
occam2 为 候 套 静态 进程 采用 了 cobegin (PAR) 表示 ， 可 把 初始 化 数据 给 进程 ， 然 而 它 既 
[217] AEP IE, EPR “AAPA” Sib. AdaflJavalitÜt T HARM, KHMERS AS 
种 终止 选项 。POSIX 允 许 创建 动态 线程 ， 线 程 具有 平坦 结构 ， 线 程 必须 显 式 终止 或 被 杀 掉 。 
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练习 


7.1 一 个 特定 操作 系统 有 一 系统 调用 (RunConcurrently)， 它 取 用 一 个 未 受 约束 数组 。 数 组 的 
每 个 元 素 是 指向 一 无 参 过 程 的 指针 。 该 系统 调用 并 发 执行 所 有 过 程 并 在 所 有 过 程 终止 时 返 
回 。 使 用 Ada 任 务 设 施 实现 该 系统 调用 。 假 定 操作 系统 和 应 用 在 同一 地 址 空间 内 运行 。 

72 写 出 创建 一 个 任务 数组 的 Ada 代 码 ， 每 个 任务 有 一 个 参数 指出 它 在 数组 中 的 位 置 。 

7.3 试用 Ada 实 现 cobegin。 

7.4 不 用 Ada 的 任务 间 的 通信 ， 进 程 创建 的 fork 和 和 join 方 法 能 用 Ada 实 现 吗 ? 

7.5 在 下 列 过 程 中 创建 了 多 少 POSIX 进 程 ? 
for (i=0; i«-10; i++) { 

fork (); 
} 

7.6 Java, C#IPOSIXLA Koccam2B 47.475 [8] XR (07 (£j BARAK. 

7.7 如 果 一 个 多 线程 进程 执行 了 类 似 POSIX 的 fork 系 统 调用 ， 被 创建 的 进程 中 应 包含 多 少 个 线 
程 ? 

7.8 用 并 发 进程 给 出 控制 访问 一 个 简单 停车 场 的 程序 结构 。 假 设 该 停车 场 有 单一 入 口 、 单一 出 
口 和 一 个 车 位 满 标 志 。 

7.9 在 下 列 程序 的 帮助 下 解释 Ada 的 任务 终止 规则 和 其 异常 传播 模型 之 间 的 相互 关系 。 要 考虑 
变量 C 的 初始 值 为 2、1 和 0 时 的 程序 行为 。 
with Ada.Text_Io; use Ada.Text_Io; 


procedure Main is 
task A; 
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task body A is 


C : Positive := Some Integer Value; 
procedure P (D : Integer) is 
task T; 


A : Integer; 
task body T is 


begin 
delay 10.0; 
Put ("T Finished"); New Line; 
end T; 
begin 
Put ("P Started"); New Line; 
A := 42/D; 
Put ("P Finished"); New_Line; 
end P; 
begin 
Put ("A Started"); New Line; 
P (C-1); > 
Put ("A Finished"); New Line; 
end A; 
begin 
Put ("Main Procedure Started");. New Line; 
exception 


when others -» 
Put ("Main Procedure Failed"); New Line; 


end Main; 


7.10 对 下 列 Ada 程 序 中 的 每 个 任务 指出 其 父亲 和 监护 者 (主宰 ) 以 及 它 可 能 有 的 儿子 和 眷属 。 
还 指出 Main 和 Hierarchy 过 程 的 卷 属 。 


procedure Main is 
procedure Hierarchy is 
task A; 
task type B; 


type Pb is access B; 
Pointerb : Pb; 


task body A is 
task C; 
task D; 
task body c is 
begin 
-- 语 名 序列， 包含 
Pointerb := new B; 
end c; 
task body D is 
Another Pointerb : Pb; 
begin 
-~ WDF, aE 


Another_Pointerb := new B; 
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end D; 
begin 

-- 语句 序列 
end A; 


task body B is 
begin 

-- 语句 序列 
end B; 


begin 
-- 请 句 序列 


end Hierarchy; 


begin 
-- 语句 序列 
end Main; 
7.11 能 够 用 图 7-2 表 示 (a) POSIX 的 pthreads，(b) occam2 进 程 和 (3) Java 线 程 的 状态 迁移 
图 的 哪些 方面 ? 
7.12 对 于 下 列 代码 : 


public class Calculate implements Runnable 


{ 


public void run () 
{ 
/*long 计算 */ 220 
} 
} 


Calculate MyCalculation = new Calculate ()3 
试问 : 
MyCalculation.run (); 
和 
new Thread (MyCalculation) .start (); 
之 间 有 什么 不 同 ? 
7.13 阐明 如 何 防止 一 个 Java 线 程 被 一 个 任意 线程 破坏 。 221 
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8.6 BAL 





并 发 编程 的 主要 难点 来 自 进程 间 的 交互 。 不 像 我 们 在 第 7 章 末 尾 看 到 的 一 些 简单 例子 ， 实 
际 的 进程 是 很 少 和 其 他 进程 无 关 的 。 并 发 程序 的 正确 行为 很 大 程度 上 取决 于 进程 间 的 同步 和 
通信 。 从 最 广泛 的 意义 来 说 ， 同 步 就 是 对 不 同 进程 的 动作 交叉 执行 时 的 约束 条 件 的 满足 〈 例 
如 只 在 一 个 进程 发 生 一 个 规定 动作 之 后 ， 另 一 个 进程 才能 发 生 一 个 特定 动作 )。 从 狭义 来 说 ; 
这 个 术语 也 用 来 指使 得 两 个 进程 同时 进入 预定 义 状态 。 通 信 是 指 从 一 个 进程 到 另 一 个 进程 的 
信息 传递 。 因 为 某 些 通信 形式 需要 同步 ， 且 同步 也 可 以 被 看 成 无 内 容 的 通信 ， 所 以 这 两 个 概 
” 念 是 相互 关联 的 。 

通常 ， 进 程 间 通 信 实 际 上 是 基于 共享 变量 的 或 基于 消息 传递 的 。 共 享 变量 是 可 以 被 多 个 
进程 访问 的 对 象 ， 因 此 引用 这 些 变 量 的 进程 可 以 在 合适 的 时 候 进 行 通信 。 消 息 传递 涉及 两 个 
进程 之 间 通过 消息 形式 的 显 式 数据 交换 ， 消 息 通过 某 个 代理 从 一 个 进程 传递 到 另 一 个 进程 
值得 注意 的 是 ， 共 享 变量 和 消息 传递 的 选择 是 语言 或 操作 系统 设计 者 的 事情 ， 它 并 不 瞳 示 应 
该 使 用 哪 种 具体 的 实现 方法 。 在 进程 之 间 有 共享 存储 器 的 情况 下 ， 共 享 变 量 很 容易 支持 ， 但 
即使 硬件 拥有 一 个 通信 介质 ， 依 然 可 以 使 用 共享 变量 。 类 似 地 ， 消 息 传递 原 语 可 以 通过 共享 
存储 器 或 是 物理 消息 传递 网 络 支 持 。 此 外 ， 我 们 可 以 用 以 上 的 任何 一 种 方式 编写 应 用 且 获 得 
同样 的 功能 (Lauer and Needham，1978)。 基 于 消息 的 同步 和 通信 将 在 第 9 音 讨 论 。 本 章 将 主 
要 讲述 基于 共享 变量 的 通信 和 同步 原 语 ， 尤 其 是 要 讨论 忙 等 待 、 信 号 量 、 条 件 临 界 区 、 管 程 、 
保护 类 型 和 同步 方法 。 


8.1 互 斥 和 条 件 同 步 


虽然 共享 变量 看 来 是 一 种 在 进程 间 很 直接 的 信息 传递 方式 ， 但 由 于 多 个 进程 更 新 问题 ， 
对 共享 变量 的 不 受 限 制 使 用 是 不 可 靠 的 和 不 安全 的 。 考 虑 下 面 的 情况 : 两 个 进程 用 下 面 的 赋 
值 语句 同时 更 新 一 个 共享 变量 X: 

X := X¥ +1 

在 大 多 数 硬件 上 ， 这 个 语句 并 不 被 作为 不 可 分 的 (原子 的 ) 操作 执行 ， 而 是 用 下 面 的 二 
条 指令 实现 : 

1) 把 X 的 值 载 人 到 某 个 寄存 器 (或 到 栈 的 顶端 ) 
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2) 对 寄存 器 的 值 增 加 1 

3) 将 寄存 器 的 值 存 回 X 

由 于 这 三 个 操作 不 是 不 可 分 的 ， 两 个 同时 更 新 这 个 变量 的 进程 如 果 交 叉 执 行 的 话 ， 将 产 
生 一 个 错误 的 结果 。 例 如 ， 如 果 X 的 初 值 为 5， 那 么 两 个 进程 分 别 将 5 装 和 各自 的 寄存 器 并 增加 
1， 然 后 存储 结果 为 6。 

临界 段 (critical section) 是 一 个 必须 不 可 分 地 执行 的 语句 序列 。 保 护 临界 段 所 需 的 同步 
称 为 互 斥 (mutual exclusion )。 虽 然 原 子 性 对 赋值 操作 不 成 立 ， 在 存储 器 级 别 却 是 假定 成 立 的 。 
因此 ,假若 一 个 进程 执行 X:=5， 同 时 另 一 个 执行 X: =6， 那 么 结果 将 是 5 或 6 (不 会 有 其 他 的 
结果 )。 如 果 不 是 这 样 的 话 , 那么 对 并 发 程序 的 推理 或 实现 较 高 级 别 的 原子 性 (例如 互 斥 同 步 )， 
将 变 得 很 困难 。 然 而 ， 很 明显 ， 如 果 两 个 进程 是 在 更 新 一 个 结构 化 对 象 ， 那 么 原子 性 将 只 适 
用 于 单个 字 的 元 素 级 别 上 。 

互 斥 问题 是 由 Dijkstra (1965) 首次 描述 的 。 它 是 大 部 分 并 发 进程 同步 的 核心 问题 ， 具 有 
很 大 的 理论 和 实际 意义 。 互 斥 并 不 是 惟一 重要 的 同步 方法 ， 实 际 上 ， 如 果 两 个 进程 之 间 没 有 
共享 变量 ， 那 么 就 不 需要 互 斥 。 条 件 同步 是 另 一 个 重要 需求 ， 在 下 述 情况 下 就 需要 它 ， 一 个 
进程 希望 执行 某 个 操作 ， 而 这 个 操作 只 有 在 另 一 个 进程 已 经 采取 了 某 行动 或 处 于 某 已 定义 状 
态 之 后 进行 才 是 合理 的 和 安全 的 。 

一 个 条 件 同步 的 例子 是 缓冲 区 的 使 用 。 两 个 交换 数据 的 进程 不 直接 进行 通信 ， 而 是 通过 
缓冲 区 进行 要 更 好 些 。 这 对 消除 进程 之 间 的 耦合 有 好 处 ， 并 且 它 允许 两 个 进程 的 工作 速度 可 
以 有 小 的 波动 。 例 如 ， 一 个 输入 进程 可 能 接受 爆发 式 到 来 的 数据 ， 这 些 数据 必须 经 过 缓冲 ， 
再 提供 给 合适 的 用 户 进程 。 在 并 发 编程 中 使 用 缓冲 区 连接 两 个 进程 是 普遍 的 ， 这 被 称 为 生产 
者 一 消费 者 系统 。 

在 使 用 一 个 有 限 (AF) 的 缓冲 区 时 ， 两 个 条 件 同步 是 必需 的 。 第 一 ， 当 缓冲 区 已 满 时 ， 
生产 者 进程 不 能 试图 向 缓冲 区 存 人 数据 。 第 二 ， 当 缓冲 区 为 空 时 ， 消 费 者 进程 不 能 从 缓冲 区 
取出 数据 对 象 。 而 且 ， 如 果 允 许 存 人 和 取出 操作 同时 进行 的 话 ， 就 必须 确保 互 斥 以 使 两 个 生 
产 者 不 会 搞 乱 缓冲 区 的 “下 一 个 空 模 ”指针 。 

任何 一 种 同步 形式 的 实现 都 隐 含 着 有 时 必须 阻止 进程 的 执行 直到 适合 它 执行 的 时 刻 。 在 
8.2 节 ， 我 们 将 用 忙 等 待 (busy wait) 循环 和 标志 (flag) 来 编程 (用 一 个 有 显 式 进程 声明 的 
类 Pascal 语 言 ) 实现 互 斥 和 条 件 同 步 。 从 以 上 的 分 析 来 看 ， 为 了 使 需要 同步 的 算法 的 编码 容易 
一 些 ， 我 们 需要 更 多 的 原 语 ， 这 应 该 是 很 清楚 的 。 . 


8.2 Tf 


实现 同步 的 一 个 方法 是 让 进程 设置 并 检查 作为 标志 的 共享 变量 。 这 个 方法 很 适合 条 件 同 
步 ， 但 对 互 斥 却 没有 简单 的 方法 。 为 了 将 一 个 条 件 作为 信号 发 出 去 ， 一 个 进程 设置 一 个 标志 
的 值 ; 为 了 等 待 这 个 条 件 ， 另 一 个 进程 检查 这 个 标志 ， 只 在 读 到 合适 的 值 时 才 继 续 前 进 : 

process Pl; (* 等 待 进程 *) | 

while flag = down do 


null 
end; 





end Pl; 


process P2; (* 发 信号 进程 * ) 
flag := up; 


end P2; 

如 果 条 件 还 没有 被 置 位 (这 就 是 说 ，f1ag 仍 然 是 down )， 那 么 Pl 除了 循环 检查 标志 外 没有 别 
的 选择 。 这 就 是 忙 等 待 ， 也 被 称 作 自 旋 转 (spinning) 〈 标 志 变 量 称 为 循环 锁 ，spin lock). 

忙 等 待 算法 一 般 是 效率 低下 的 ， 因 为 当 它们 不 能 做 任何 有 用 工作 时 ， 它 们 包含 的 进程 耗 
尽 了 处 理 周 期 。 即 使 在 多 处 理 器 系统 上 ， 它 们 也 会 在 存储 总 线 或 网 络 上 (如 果 是 分 布 式 ) 引 
起 过 量 的 流量 问题 。 此 外 ， 如 果 有 多 个 进程 在 等 待 一 个 条 件 〈 也 就 是 说 ， 检 查 标志 的 值 )， 那 
么 也 不 可 能 简单 地 实施 排队 规则 。 

由 于 互 斥 所 需 的 算法 要 复杂 得 多 ， 它 产生 了 更 多 的 困难 。 考 虑 有 互 斥 临界 段 的 两 个 进程 
(又 是 P1 和 ?2 )。 为 了 保护 对 这 些 临界 段 的 访问 ， 我 们 可 以 假设 每 个 进程 在 进入 临界 段 前 都 会 
执行 一 个 进入 协议 ， 同 时 在 退出 后 执行 一 个 退出 协议 。 因 此 每 个 进程 可 以 被 看 成 如 下 的 形式 : 

P loop. Á 

进入 协议 

临界 段 
退出 协议 
非 临界 段 


end 
end P; 


在 对 互 斥 问题 给 出 一 个 合适 的 解决 方案 之 前 ， 先 讨论 三 个 不 合适 的 方法 。 首 先 ， 考 虑 有 两 个 
标志 的 解决 方案 ， 它 是 忙 等 待 条 件 同 步 算法 的 一 种 合理 扩展 : 
process Pl; 
loop 
flagl := up; (* 宣 布 进入 意图 *) 
while flag2 = up do 
null (* 如 果 有 其 他 进程 在 其 临界 段 * ) 
end; (* RUS +) 
< 临界 段 > 
flagl := down; (* 退出 协议 *) 
< 非 临界 段 > 
end 
end Pi; 


process P2; 
loop 
flag2 := up; 
while flagl = up do 
null 
end; 
< 临界 段 > 
flag2 := down; 
< 非 临界 段 > 
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end 
end P2; 


两 个 进程 都 宣称 想 要 进入 临界 段 ， 并 检查 是 否 有 其 他 进程 位 于 其 临界 段 内 。 令 人 遗憾 的 是 这 
个 “解决 方法 ”有 一 个 并 非 不 重要 的 问题 。 考 虚 如 下 的 过 程 交叉 执行 情况 : 
Pl 设置 其 标志 (flagl = up) 


P2 设置 其 标志 (flag2 = up) 
P2 检查 flagl (flagl = up， 因 此 P2 进 入 循环 ) 


226 P2 进入 忙 等 待 
Pl 检查 flag2 (flag2 = up， 因 此 P1 进 入 循环 ) 
Pl 进入 忙 等 待 


其 结果 是 两 个 进程 都 将 保持 它们 的 忙 等 待 状态 。 由 于 对 方 不 能 退出 循环 ， 两 者 都 不 能 退出 循 
环 。 这 种 现象 被 称 作 活 锁 (livelock)， 是 一 种 严重 的 错误 状态 。 

以 上 方法 的 困难 ， 来 自 每 个 进程 在 检查 它 这 样 做 是 否 可 接受 之 前 宣称 要 进入 临界 段 。 另 
一 个 方法 是 颠倒 这 两 个 操作 的 顺序 : 


process Pl; 
loop 
while flag2 = up do 
null (* 如 果 有 其 他 进程 在 其 临界 段 * ) 
end; (* 则 忙 等 待 *) 
flagl := up; (* 宣 布 进入 意图 *) 
< 临界 段 > 
flagl := down; (* 退出 协议 *) 
< 非 临界 段 > 
end 
end Pl; 


process P2; 
loop 
while flagl = up do 
null 
end; 
flag2 := up; 
< 临界 段 > 
flag2 := down; 
< 非 临界 段 > 
end 
end P2; 


现在 我 们 可 以 产生 一 个 不 互 斥 的 交叉 执行 情况 : 
Pl 和 P2 处 于 非 临界 段 (flagl = flag2 = down) 
， P1 检 查 flag2 (down) 
”PFP2 检 查 flagl (down) 
”P2 设 置 其 标志 (flag2 = up) 
P2 进 入 临界 段 
P1 设 置 其 标志 (flagl = up) 
P1 进 入 临界 段 
(P1 和 P2 都 处 于 临界 段 ) 


以 上 讨论 的 两 个 结构 的 主要 问题 在 于 设置 自己 的 标志 和 检查 另 一 个 进程 不 能 被 作为 一 个 不 可 
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分 的 操作 进行 。 因 此 ， 一 个 可 能 正确 的 方法 是 只 用 一 个 标志 来 指示 下 一 个 进入 临界 段 的 进程 。 
由 丁 这 个 标志 决定 了 轮 到 谁 进入 临界 段 ， 因 此 我 们 用 turn 来 命名 。 


process Pl; 


N 
N 
~ 


loop 
while turn = 2 dọ 
null 
end 
< 临界 段 > 
turn := 2 
< 非 临界 段 > 
end 
end Pl; 


process P2; 
loop 
while turn = 1 do 
null 
end 
< 临界 段 > 
turn :=1; 
< 非 临界 段 > 
end 
end P2; 


用 这 种 结构 ， 变 量 turn 的 值 只 可 能 是 1 或 2。 如 果 是 1 的 话 ， 那 么 P1 肯 定 不 会 被 无 限期 延迟 ， 
且 P2 不 能 进入 它 的 临界 段 。 而 且 ， 当 P1 处 于 它 的 临界 段 时 turn 不 会 变 成 2， 因 为 turn 可 以 被 
赋值 为 2 的 惟一 地 方 是 在 P1 进 程 中 ， 且 只 有 在 P1 处 于 退出 协议 时 。 对 turn 这 个 对 称 变 元 取 值 
为 2， 就 保证 了 互 斥 ， 而 且 ， 如 果 两 个 进程 都 循环 执行 ， 那 么 也 不 可 能 发 生活 锁 。 

令 人 遗憾 的 是 后 者 有 些 问 题 。 假 若 P1 在 其 非 临界 段 发 生 错误 ， 那 么 turn 的 值 为 1 并 将 保 
持 下 去 (这 就 是 说 P2 将 不 能 进入 临界 段 ， 即 使 P1 不 再 执行 )。 其 至 在 正常 执行 时 ， 使 用 单个 
turn 变 量 要 求 进程 以 相同 的 速率 循环 执行 。 例 如 ， 对 ?1 来 说 进入 临界 段 三 次 而 ?2 只 进入 一 
次 这 种 情况 是 不 可 能 的 。 这 种 限制 对 自治 进程 来 说 是 不 可 接受 的 。 

最 后 ， 我 们 给 出 一 个 算法 ， 该 算法 不 会 引起 前 面 例 子 的 闭合 耦合 问题 而 且 提 供 互 斥 ， 不 
会 产生 活 锁 。Peterson (1981) 首先 提出 这 个 算法 。 另 一 个 著名 的 算法 ， 即 Dekker 算 法 由 Ben- 
Ari (1982) 提出 。Peterson (和 Dekker) 的 方法 有 两 个 标志 (flagl 和 f1ag2) 和 一 个 turn 
变量 ， 标 志 由 “拥有 ”它们 的 进程 操纵 ，turn 变 量 用 来 察看 是 否 存在 进入 临界 段 的 竞争 ; 

process Pl; 

loop 
flagl := up; (* 宣布 进入 意图 *) 
turn := 2; (* 给 其 他 进程 优先 级 *) 
while flag2 = up and turn = 2 do 

null 

: end; 
< 临界 段 > 
flagl := down; 
< 非 临界 段 > 


end 
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end P1; 


process P2; 
loop 
flag2:= up; (* 宣 布 进 入 意图 *) 
turn:= 1; (* 给 其 他 进程 优先 级 * ) 
while flagl = up and turn = 1 do 
null 
end; 
< 临界 段 > 
flag2:= down; 
< 非 临 界 段 > 
end 
end P2; 


如 果 只 有 一 个 进程 想 进入 临界 段 ， 那 么 另 一 个 进程 标志 将 设 为 down， 可 以 立即 进入 。 然 
而 ， 如 果 两 个 标志 都 为 up， 那么 变量 turn 的 值 就 很 重要 了 。 我 们 假设 turn 有 初 值 1， 那 么 
可 能 存在 四 种 交替 执行 的 可 能 ， 这 取决 于 每 个 进程 给 turn 赋 值 和 在 while 语 句 中 检查 它 的 值 
的 顺序 : 

第 一 种 可 能 情况 ------ 先 P1 后 P2 

Pl 设 turn 为 2 

P1 检 查 turn， 并 进入 忙 循环 

P2 设 turn 为 1 (turn 现 在 将 保持 1) 

P2 检 查 turn， 并 进入 忙 循环 

P1 青 次 检查 turn， 并 进入 临界 段 


第 二 种 可 能 情况 ------ 先 P2 后 P1 
P2 设 turn 为 1 

P2 检 查 turn， 并 进入 忙 循环 
Pl1 设 turn 为 2 (turn 现 在 将 保持 2) 
P1 检 查 turn， 并 进入 忙 循环 

P2 再 次 检查 turn， 并 进入 临界 段 


第 三 种 可 能 情况 ------ Pl 和 P2 交 又 
P1 设 turn 为 2 

P2 设 turn 为 1 (turn 现 在 将 保持 1) 
P2 进 入 忙 循环 

P1 进 入 临界 段 

第 四 种 可 能 情况 ------ P2 和 ?1 交叉 
P2 设 turn 为 1 

Pl1 设 turn 为 2 (turn 现 在 将 保持 2) 
P1 进 入 忙 循环 l 
P2 进 入 临界 段 


所 有 四 种 情况 都 导致 一 个 进程 进入 临界 段 ， 另 一 个 进程 处 于 位 循环 。 

一 般 来 说 ， 虽 然 单个 交叉 执行 只 能 说 明 系统 不 满足 其 规格 说 明 ， 但 要 容易 地 给 出 导致 符 
合 规格 说 明 的 所 有 可 能 交叉 是 不 可 能 的 。 通常， 为 了 展现 这 种 符合 性 ， 需 要 证 明 的 方法 ( 包 
括 模 型 检查 )。 : 


有 趣 的 是 ， 如 果 存 在 访问 〈 对 临界 段 的 ) 竞争 ， 以 上 的 算法 是 相当 公平 的 ， 也 就 是 说 p1 
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成 功 进入 临界 段 后 〈 经 由 第 一 或 第 三 种 可 能 ) ，P2 也 肯定 能 在 下 一 次 进入 临界 段 。 当 P1 离 开 
它 的 临界 段 时 ， 它 设 f1ag1l 为 aown。 这 将 可 能 让 P2 进 入 它 的 临界 段 ， 但 即使 P2 没 有 这 样 做 
(因为 实际 上 ?2 在 该 时 刻 并 设 有 执行 ) 而 ?1 继续 前 进 ， 进 入 和 离开 它 的 非 临界 段 ， 设 置 
flagl 为 up， 设 置 turn 为 2， 然 后 进入 忙 循 环 。B1 将 等 待 直到 P2 进 入 和 离开 临界 段 并 重 置 
flag2 (作为 它 的 退出 协议 )。 

用 可 靠 性 的 话说 ， 一 个 进程 在 非 临界 段 的 失效 将 不 会 影响 其 他 进程 ， 但 在 协议 和 临界 段 
失效 时 就 不 是 这 样 了 。 进 程 过 早 地 终止 有 可 能 引起 程序 其 余部 分 的 活 锁 困 难 。 

以 上 详细 的 讨论 说 明 ， 只 使 用 共享 变量 而 没有 附加 的 原 语 (除了 顺序 语言 里 的 原 请 之 外 ) 
实现 进程 间 的 同步 是 很 困难 的 。 这 些 难 点 总 结 如 下 : 

* 使 用 忙 循环 的 协议 很 难 设计 、 理 解 和 证 明 其 正确 性 (读者 可 以 思考 一 下 把 Peterson 算 法 

推广 到 用 于 n 个 进程 的 情况 )。 

© 对 程序 进行 的 宰 试 可 能 会 检查 不 到 那些 罕见 的 违反 互 斥 或 引起 活 锁 的 交替 执行 路 径 。 

* 忙 等 待 循环 效率 低下 。 

* 不 可 靠 (恶意 ) 的 任务 可 能 误 用 共享 变量 ， 这 将 导致 整个 系统 瘫 病 。 

没有 哪个 并 发 程序 设计 语言 完全 依赖 忙 等 待 和 共享 变量 ， 现 在 已 经 有 -一些 其 他 的 方法 和 
原 语 。 对 于 共享 变量 的 系统 ， 信 号 量 和 管 程 是 最 重要 的 构造 ， 我 们 将 在 8.4 和 8.6 节 描述 。 


8.3 挂 起 和 恢复 


忙 等 待 循 环 的 一 个 问题 是 它 浪费 了 宝贵 的 处 理 器 资源 。 一 个 替代 方案 是 当 调用 进程 等 待 
的 条 件 不 能 满足 时 就 挂 起 该 进程 (也 就 是 将 其 从 可 运行 进程 队列 移出 去 )。 例 如 ， 考 虑 一 下 使 
用 一 个 fl1ag 的 简单 条 件 同步 。 一 个 进程 置 位 该 标志 ， 另 一 个 进程 等 待 直到 这 个 标志 被 置 位 ， 
然后 清除 它 。 可 以 这 样 使 用 一 个 简单 的 挂 起 和 恢复 机 制 实现 之 : 
process Pl; (* 等 待 进程 *) 
if flag = down do 
suspend; 


end; 
flag := down; 


end Pl; 


process P2; (* 发 信号 进程 +) 
flag := up; 


resume Pl; (* 如 果 Pl 未 挂 起 ， 则 没有 任何 效果 *) 
end P2; 


Java 的 类 Thread 的 一 个 早期 版 本 提供 了 支持 该 机 制 的 方法 : 


public final void suspend () 


// 抛 出 SecurityException; 
public final void resume (8x 


// 抛 出 SecurityException; 


因此 以 上 的 例子 可 以 用 Java 实 现 如 下 : 





176 £8 


boolean flag; 
final boolean up = true; 
final boolean down = false; 


class FirstThread extends Thread { 


public void run () { 


if (flag == down) { 
suspend (); 
hi 


flag = down; 


} 
E 


class SecondThread extends Thread ( // T2 
FirstThread Tl; 


public SecondThread (FirstThread T) 1 
super (); 
Tl = T; 

} 


public void run () { 
flag = up; 
Tl.resume (); 


} 

} 
令 人 遗憾 的 是 这 个 方法 会 引起 竞争 条 件 (race condition) 问题 。 线程 ?1 可 能 测试 tlag， 然 后 
底层 运行 时 支持 系统 (或 操作 系统 ) 可 能 决定 抢占 它 而 运行 ?2， T2 置 位 flag 并 恢复 Tl1。 当 
然 由 于 Tl 没有 挂 起 ， 因 此 resume 不 起 作用 。 接 着 ， 当 T1 再 次 运行 时 ， 它 认 为 flag 已 经 是 
down， 因 此 它 挂 起 自己 。 

正如 我 们 前 一 节 给 出 的 例子 一 样 ， 出 现 这 个 问题 的 原因 是 因为 Elag 是 一 个 正在 被 测试 的 
共享 资源 ， 采 取 的 行动 依赖 于 它 的 状态 (进程 挂 起 本 身 )。 测试 和 挂 起 不 是 原子 操作 ， 因 此 可 
能 出 现 来 自 其 他 进程 的 和 干扰。 由 于 这 个 原因 ， Java 的 最 新 版 本 已 经 取消 了 这 个 方法 。 

目前 已 经 有 几 个 解决 竞争 条 件 问 题 方 法 ， 所 有 方法 都 提供 了 一 种 两 阶段 挂 起 操作 的 形式 。 
本 质 上 ?1 必须 宣布 它 计划 在 将 来 的 某 个 时 刻 挂 起 任何 发 现 P1 没 有 被 挂 起 的 恢复 操作 都 有 一 
个 延迟 效果 。 当 P1 挂 起 时 ， 它 立即 被 恢复 ， 也 就 是 说 ， 挂 起 操作 本 身 没有 效果 。 

虽然 挂 起 和 恢复 是 低级 工具 ， 在 使 用 中 又 是 易 出 错 的 ， 但 它 是 一 个 可 以 用 来 构造 高 级 同 
步 原 语 的 有 效 机 制 。 由 于 这 个 原因 ， Ada 提 供 了 这 种 机 制 的 一 个 安全 版 本 ， 并 把 它 作 为 实时 附 
件 的 一 部 分 。 它 围绕 着 对 象 挂 起 (suspension) 这 个 概念 ， 它 的 值 可 以 是 True 或 False。 程 
序 8-1 给 出 了 这 个 包 的 规格 说 明 。 

这 个 包 定 义 的 所 有 四 个 子 程序 相对 于 其 他 子 程序 都 是 原子 操作 。 在 从 过 程 Suspend_Until 
True 返回 时 ， 引 用 的 挂 起 对 象 被 复位 为 False。 





程序 8-1 同步 任务 控制 


package Ada.Synchronous_Task_Control is 
type Suspension Object is limited private; 
procedure Set True (S : in out Suspension Object); 
procedure Set False (S : in out Suspension Object); 
function Current State (S : Suspension Object) return Boolean; 
procedure Suspend Until True (S: in out Suspension Object); 
-~ 如 果 有 一 个 以 上 的 任务 试图 立即 挂 起 S ， 引 发 Program_Error 
private 
-- 语言 没有 规定 


end Ada.Synchronous_Task_Control; 





因此 ， 在 本 节 前 面 所 提 到 的 简单 条 件 同步 问题 可 以 很 容易 地 解决 了 。 


with Ada.Synchronous_Task_Control; 
use  Ada.Synchronous Task Control; 


Flag : Suspension Object; 


task body P1 is 
begin 


Suspend Until True (Flag); 


end P1; 
task body P2 is 
begin 


Set True (Flag); 


end Pl; 
挂 起 对 象 的 行为 在 很 多 方面 和 二 元 信号 量 相 同 ， 这 将 在 8.4.4 节 讨论 。 

虽然 suspend 和 resume 是 很 有 用 的 低级 原 语 ， 但 没有 哪 种 操作 系统 或 语言 单独 依靠 这 
些 机 制 来 实现 互 斥 和 条 件 同 步 。 如 果 使 用 的 话 ， 它们 就 明显 为 第 7 章 介 绍 的 状态 转换 图 引进 了 
一 种 新 的 状态 。 所 以 进程 更 一 般 的 状态 图 可 以 扩展 成 如 图 8-1 所 示 的 样子 。 


8.4 信号 量 


信号 量 是 一 种 互 扩 和 条 件 同 步 编 程 的 简单 机 制 。 它 最 初 是 由 Dijkstra ( 1968a) 设计 的 ， 
有 以 下 的 两 个 好 处 : l 

1) 简化 同步 协议 。 

2) 消除 了 忙 等 待 循环 。 

信号 量 是 一 个 非 负 整 型 变量 ， 除 了 初始 化 外 ， 只 有 两 个 过 程 能 对 它 发 生 作 用 。 这 两 个 过 
程 被 Dijkstra 称 为 P 和 V， 但 在 本 书 中 称 为 vait 和 signal。 wait 和 signal 的 语义 如 下 : 

1) wait (S) 如 果 信 和 号 量 s 的 值 大 于 0， 则 将 其 值 减 1; 否则 延迟 进程 直到 s 大 于 0 (然后 
将 其 值 减 1)。 


N 
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图 8-1 进程 的 状态 图 


2) signal (S) 将 信号 量 S 的 值 增 1。 

一 般 的 信号 量 被 称 为 计数 信号 量 ， 因 为 它们 的 操作 是 在 整数 上 增 或 减 1。wait 和 signal 
另外 的 重要 属性 是 它们 的 操作 是 原子 的 (不 可 分 )。 两 个 进程 都 在 同一 信号 量 上 执行 wait 操 
作 ， 但 不 会 互相 干扰 。 而 且 ， 在 执行 信号 量 操作 期 间 ， 进 程 不 可 能 失效 。 

条 件 同步 和 互 斥 可 以 很 容易 地 用 信号 量 编程 实现 。 首 先 ， 考 察 一 下 条 件 同 步 : 

(* 条 件 同 步 *) 


var consyn : semaphore; (* 初 值 为 0 *) 
process Pl; (* 等 待 进程 *) 


wait (consyn); 
x, 
process P2; (* 发 信号 进程 *) 
REA (consyn); 
eas?) 
当 P1 在 初 值 为 0 的 信号 量 上 执行 wait 操 作 时 ， 它 将 被 延迟 ， 直 到 P2 执 行 signal 操 作 。 这 将 
把 consyn 设 置 为 1， 因 此 wait 操 作 得 以 继续 ，P1 将 继续 执行 ， 同 时 consyn 将 减少 到 0。 值 
得 注意 的 是 , 如果 P2 先 执行 signal， 信号 量 被 设 为 1; 那么 P1 将 不 会 被 wait 的 动作 延迟 。 


互 斥 也 是 类 似 地 直接 明了 : 
(* BUR *) 
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var mutex : semaphore; (* 初始 值 为 1 *) 
process Pl; 
loop 
wait (mutex); 
< 临界 段 > 
signal (mutex); 
< 非 临界 段 > 
end 
end Pl; 


process P2; 
loop 
wait (mutex); 
< 临界 段 > 
signal (mutex); 
< 非 临界 段 > 
end 
end P2; 
如 采 P1 和 ?2 处 于 竞争 中 ,那么 它们 将 同时 执行 各 自 的 wait 语 句 。 然 而 ， 由 于 wait 是 原子 的 ， 
因此 ， 在 一 个 进程 完成 这 个 语 名 后， 另 一 个 语句 才能 开始 。 其 中 一 个 进程 以 nutex=1 执 行 
wait (mutex)， 这 使 得 该 进程 进入 其 临界 段 并 设置 mutex 的 值 为 0。 接 着 另 一 个 进程 以 
mutex=0 执 行 wait (mutex)， 并 被 延迟 。 一 旦 第 一 个 进程 退出 了 其 临界 段 ， 它 将 执行 
signal (mutex)。 这 引起 信号 量 mutex 的 值 变 成 1 ， 并 允许 第 二 个 进程 进入 其 临界 段 (再 
次 设置 mutex 为 0 )。 
用 一 对 wait/signal 将 一 段 代码 包 围 起 来 ， 信和 号 量 的 初 值 将 限制 代码 段 可 以 被 并 发 执行 的 最 
大 数目 。 如 果 其 初 值 为 0， 那 么 将 决 不 会 有 进程 进入 ; 如 果 为 1， 只 允许 一 个 进程 进入 (这 就 
是 互 斥 的 情况 ) ; 对 于 大 于 1 的 值 ， 允许 这 段 代码 的 并 发 执行 数 就 是 这 个 值 。 
8.4.1 挂 起 进程 


从 wait 的 定义 中 ， 我 们 可 以 清楚 地 看 到 ， 如 果 信 号 量 是 0， 那么 调用 进程 将 被 延迟 。 延 
迟 的 一 个 实现 方法 〈 忙 等 待 ) 前 面 已 经 介绍 过 了 ， 也 批评 过 了 。 在 8.3 节 我 们 还 介绍 了 一 个 更 
有 效 的 机 制 一 一 进程 的 挂 起 。 实 际 上 ， 所 有 的 同步 原 语 都 以 某 种 挂 起 的 形式 来 处 理 延 迟 ， 从 
可 运行 进程 队列 中 移出 这 个 进程 。 

当 一 个 进程 在 一 个 0 值 信号 量 上 执行 wait 操 作 时 ，RTSS (运行 时 支持 系统 ) 被 调用 ， 使 
得 这 个 进程 从 处 理 器 上 移出 ， 并 放 到 挂 起 进程 队列 ( 即 挂 在 那个 特定 信号 量 上 的 进程 队列 ) 
E. 然后 RTSS 必 须 选 择 另 一 个 进程 运行 。 最 终 ， 如 果 程 序 正确 的 话 ， 另 一 个 进程 将 在 信号 量 
上 执行 signal。 结 果 ， RTSS 选 择 一 个 在 等 待 这 个 信和 号 而 被 挂 起 的 进程 ， 使 其 再 度 可 执行 。 

考虑 到 以 上 的 原因 可 以 给 出 wait 和 signal 的 一 个 稍微 有 些 不 同 定义 如 下 ， 这 个 定义 
比较 接近 于 实际 的 实现 : 

wait (S) :- 

if S » 0 then 

$:- S-1 
else 


number suspended:- number suspended + 1 


N 
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挂 起 调用 进程 
signal (S) :- 
if number_suspended > 0 then 
number suspended:- number suspended - 1 
使 一 个 挂 起 进程 再 次 成 为 可 执行 的 
else 
S:= Stl 


这 个 定义 避免 了 信和 号 量 增加 后 又 立即 减少 。 


注意 : 以 上 的 算法 并 没有 指明 进程 从 挂 起 状态 恢复 的 顺序 。 虽 然 对 于 一 个 真正 的 并 发 语言 
来 说 ,程序 员 应 该 可 以 假设 一 个 不 确定 的 顺序 ( 见 9.4.3 节 )， 但 它们 通常 是 以 FIFO (先进 先 出 ) 
顺序 释放 。 然 而 ， 对 于 实时 编程 语言 来 说 ， 进 程 的 优先 级 在 选择 时 起 重要 作用 ( 见 第 13 章 )。 
8.4.2 实现 

虽然 以 上 的 算法 需要 队列 机 制 的 支持 ， 但 实现 信号 量 还 是 很 简单 直接 的 。 真 正 的 难点 在 
了 要 seweit 和 signa1 操 作 执行 的 不 可 分 性 。 不 可 分 性 意味 着 一 旦 进程 开始 执行 这 些 过 程 之 

， 那 么 它 将 继续 执行 直到 操作 执行 完毕 。 在 RTSS 的 帮助 下 ， 这 是 很 容易 实现 的 ， 当 进程 执 
行 wait 或 signal 时 ， 调度 程序 不 会 将 该 进程 换 出 ， 因 为 它们 是 不 可 抢占 的 操作 。 

令 人 遗憾 的 是 ，RTSS 并 不 总 是 完全 控制 着 调度 事件 。 虽 然 所 有 内 部 行为 都 处 于 其 控制 下 ， 
但 异步 发 生 的 外 部 事件 却 可 能 打破 信号 量 操作 的 原子 性 。 为 了 防止 这 种 情况 ，RTSS 在 不 可 分 
的 语句 序列 执行 期 间 禁 止 中 断 。 通 过 这 种 方法 就 不 会 有 外 部 事件 的 干扰 。 

禁止 中 断 对 于 单 处 理 器 系统 是 合适 的 ， 但 不 适用 于 多 处 理 器 。 在 一 个 共享 存储 器 的 系统 
里 ， 两 个 并 行进 程 可 以 执行 wait 或 signal (在 同一 个 信号 量 上 ), 但 RTSS 却 不 能 阻止 这 种 
情况 。 在 这 些 情况 下 ， 需 要 一 种 “ 锁 ” 机 制 保 护 对 操作 的 访问 。 目 前 使 用 两 种 机 制 。 

在 某 些 处 理 器 上 ， 提 供 了 “测试 并 设置 ”指令 。 它 允许 进程 以 下 面 的 方式 访问 一 个 二 进 
制 位 。 

1) 如 果 该 位 为 0， 则 设置 为 1 并 返回 0。 

2) 如 果 该 位 为 1， 则 返回 1。 

这 些 操 作 本 身 是 不 可 分 的 。 例 如 ， 两 个 并 行进 程 都 想 执行 wait ， 那 么 它们 将 测试 并 设置 
同一 个 锁 位 〈 初 值 为 0) 。 一 个 进程 将 成 功 执行 并 设置 该 位 为 1; 另 一 个 进程 将 返回 1， 并 因此 
会 进入 循环 而 不 断 重新 测试 这 个 锁 。 当 第 一 个 进程 完成 wait 操 作 ， 它 给 锁 赋 值 0 (也 就 是 对 
信号 量 解锁 ) ， 这 样 另 一 个 进程 就 继续 执行 wait 操 作 。 

如 果 没 有 “测试 并 设置 ”指令 可 用 ， 那 么 可 以 用 一 条 交换 指令 取得 类 似 的 效果 。 同 样 的 ， 
这 个 锁 与 一 个 初 值 为 0 的 位 相关 联 。 一 个 希望 在 信号 量 上 执行 操作 的 进程 把 1 交换 进 该 锁 位 。 
如 果 它 从 该 锁 返 回 0， 那 么 它 可 以 继续 前 进 ; 如 果 返 回 1， 那 么 肯定 有 另 一 个 进程 在 信号 量 上 
活动 ， 必 须 重新 测试 该 锁 。 

正如 在 8.1 节 中 指出 的 ， 像 信号 量 这 样 的 软件 原 语 不 可 能 像 变 戏法 一 样 解决 有 关 互 斥 的 问 
题 。 为 了 建立 更 高 级 的 结构 ， 需 要 让 存储 位 置 表现 出 互 斥 的 本 质 。 类 似 地 ， 虽 然 由 于 使 用 信 
号 量 ， 忙 等 待 已 经 从 程序 员 的 视野 里 消失 了 ， 但 使 用 忙 等 待 来 实现 wait 和 signal 操 作 也 是 
必要 的 。 然 而 应 当 注意 到 ， 忙 等 待 的 后 一 种 使 用 仅仅 是 短 时 的 (花费 在 执行 wait 或 signal 操 作 
上 的 时 间 短 )， 但 是 它 对 程序 临界 段 的 延迟 访问 却 包 含 了 大 量 循环 花费 的 时 间 。 
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8.4.3 活性 

在 8.2 节 ， 我 们 说 明了 活 锁 这 种 出 错 状态 。 令 人 遗憾 的 〈 也 是 不 可 避免 的 ) 是 ， 同 步 原 语 
的 使 用 也 产生 了 一 些 其 他 的 出 错 状态 。 死 锁 是 其 中 最 严重 的 一 个 ， 它 使 一 个 进程 集合 处 于 一 
种 其 中 任何 一 个 进程 都 不 能 继续 执行 的 状态 。 这 同 活 锁 类 似 ， 不 同 的 是 进程 是 被 挂 起 的 。 为”[237 
了 说 明 这 种 情况 ， 我 们 来 考察 一 下 希望 访问 两 个 非 并 发 资源 (一 次 只 能 被 一 个 进程 访问 的 资 
UA) 的 两 个 进程 P1 和 P2， 这 两 个 资源 由 信号 量 S1 和 S82 进行 保护 。 如 果 两 个 进程 都 以 同样 的 
顺序 访问 资源 ， 那 就 不 会 有 问题 出 现 : 


Pl P2 
wait (S1); wait (S1); 
wait (S2); wait (S2); 
signal ($2); Signal (8S2); 
signal ($1); signal (8S1); 


第 一 个 进程 首先 在 S1 上 执行 wait 成 功 ， 然 后 在 82 上 执行 wait 也 成 功 ， 随 后 在 两 个 信号 
量 执 行 signal， 并 允许 另 一 个 进程 进入 。 但 是 ， 如 果 其 中 的 一 个 进程 以 相反 的 顺序 使 用 资源 
就 会 发 生 问题 ， 例 如 : 


Pl P2 
wait (S1); wait (S2): 
wait (S2); wait (S1); 
signal ($2); signal (S1); 
signal (Sl); signal (S2); 


在 这 种 情况 下 ，P1 和 ?2 穿插 地 成 功 执行 S1 和 s2 上 的 wait， 但 在 等 待 另 一 个 信号 量 时 ， 两 个 
进程 都 不 可 避免 地 被 挂 起 ， 因 为 信号 量 为 0。 | 

一 旦 进程 的 一 个 子 集 变 成 了 死 锁 ， 所 有 其 他 的 进程 最 终 会 变 成 这 个 死 锁 集 的 一 部 分 ， 这 
是 一 个 相互 依赖 的 并 发 程序 的 天 性 。 

除了 最 明显 的 死 锁 外 ， 软 件 测试 很 少 能 消除 死 锁 问题 ， 死 锁 虽然 不 经 常 发 生 ， 但 造成 的 
后 果 很 严重 。 这 种 错误 不 是 信号 量 所 特有 的 ， 所 有 的 并 发 编程 语言 都 可 能 存在 这 个 问题 。 设 
计 一 种 可 以 禁止 死 锁 的 语言 是 理想 的 ， 但 却 是 不 可 能 达到 的 目标 。 与 死 锁 避 免 、 检 测 和 恢复 
有 关 的 问题 将 在 第 11 和 13 章 讨论 。 | 

无 限制 延期 (有 时 也 叫 停工 或 俄 死 ) 是 一 种 严重 性 小 一 点 的 出 错 状态 ， 在 这 种 情况 下 ， 
一 个 进程 希望 通过 临界 段 访问 某 个 资源 ， 但 由 于 总 有 其 他 进程 在 它 之 前 获得 对 资源 的 访问 而 
导致 该 进程 一 直 无 法 获得 访问 。 在 信号 量 系统 中 ， 一 个 进程 可 能 会 被 无 限期 糙 起 (在 信号 量 
队列 上 )， 这 是 当 信号 来 到 时 由 RTSS 从 这 个 队列 选取 进程 的 策略 造成 的 。 即 使 延迟 实际 上 并 
不 是 无 限 的 ， 但 却 是 我 们 无 法 确定 的 ， 这 会 在 实时 系统 中 引起 错误 。 

如 果 一 个 进程 不 存在 活 锁 、 死 锁 和 无 限制 延期 问题 ， 那 么 我 们 说 这 个 进程 是 有 活性 
(liveness) 的 。 非 正式 地 说 ， 活 性 这 个 性 质 瞳 示 着 如 果 进 程 希望 执行 某 种 操作 ， 那 么 它 最 终 Dg] 
必 将 可 以 做 到 。 特 别 是 ， 如 果 一 个 进程 要 求 访问 临界 段 ， 那 么 它 将 在 有 限 的 时 间 内 获得 访问 。 
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8.4.4 二 元 信号 量 和 定量 信号 量 
o 一 般 信 号 量 的 定义 是 非 负 的 整数 ， 暗 示 着 其 实际 的 值 可 以 增加 到 任何 一 个 所 支持 的 正 整 
数 。 但 是 到 目前 为 止 本 章 所 给 的 例子 中 (对 于 条 件 同 步 和 互 斥 )， 只 使 用 了 0 和 1。 一 种 简单 形 
式 的 信号 量 被 称 为 二 元 信号 量 ， 它 被 实现 成 只 使 用 这 两 个 值 ， 也 就 是 说 ， 一 个 值 为 1 的 信号 量 
的 发 信号 操作 是 没有 任何 效果 的 一 一 信号 量 保持 其 值 为 1。 如 果 要 求 一 般 形式 的 信号 量 ， 那 么 
可 以 从 两 个 二 位 信号 量 和 一 个 整数 构造 一 般 的 信号 量 。 

音 号 量 正规 定义 的 另 一 个 变种 是 定量 信号 量 。 在 这 种 结构 中 ，wait 减 少 的 数量 (signal 
增加 的 数量 ) 不 固定 为 1， 而 是 作为 过 程 的 一 个 参数 : 


wait (S, i) :- if S »- i then 
S:= S-i 
else 
delay 
S := S-i 
signal (S, i) :- S := Sti 


我 们 将 在 8.6.2 节 给 出 定量 信号 量 使 用 的 例子 。 
8.45 Ada 信 号 量 编程 举例 
Algol-68 是 第 一 个 引入 信号 量 的 语言 。 它 提供 了 一 种 有 两 个 操作 符 up 和 down 的 类 型 sema。 
为 了 说 明 几 个 使 用 信号 量 的 简单 例子 ， 我 们 使 用 Ada 中 信号 量 的 一 个 抽象 数据 类 型 .， 
package Semaphore_Package is 
type Semaphore (Initial : Natural := 1) is limited private; 
procedure Wait (S : in out Semaphore); 
procedure Signal (S : in out Semaphore); 
private 


type Semaphore is .. 
end Semaphore Package; 


Ada 并 不 直接 支持 信号 量 ， 但 Wait 和 Signal 过 程 可 以 由 Ada 同 步 原 语 构造 ， 这 些 我 们 还 
未 讨论 ， 因 此 这 里 不 给 出 信号 量 类 型 和 包 体 的 完整 定义 ( 见 8.7 节 )。 但 是 ， 抽 象 数据 类 型 的 
本 质 就 是 可 以 不 知 其 实现 情况 而 照样 使 用 它们 。 

第 一 个 例子 是 生产 者 /消费 者 系统 ， 它 通 过 一 个 有 界 缓冲 区 在 两 个 任务 间 传 递 整数 : 

procedure Main is 

package Buffer is 
procedure Append (I : Integer); 
procedure Take (I : out Integer); 
end Buffer; 
task Producer; 
task Consumer; 


package body Buffer is separate; -- 见 下 面 
use Buffer; 


task body Producer is 
Item ; Integer; 
begin 
loop 
-- 生产 item 
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Append (Item); 
end loop; 
end Producer; 


task body Consumer is 
Item : Integer; 
begin 
loop 
Take (Item); 
-- 消费 item 
end loop; 
end Consumer; 
begin 
null; 
end Main; 


BUA AB AL ES A 向 满 缓 冲 区 写 和 从 空 缓冲 区 读 这 三 种 情况 。 因 此 它 使 用 了 三 
ASH: 


with Semaphore Package; use Semaphore_Package; 
separate (Main) 
package body Buffer is 

Size : constant Natural := 32; 

type Buffer Range is mod Size; 

Buf : array (Buffer Range) of Integer; 

Top, Base : Buffer Range :- 0; 


Mutex : Semaphore; -- 默认 值 为 1 
Item_Available : Semaphore (0); 
Space_Avaliable : Semaphore (Initial => Size); 


procedure Append (I : Integer) is 
begin 
Wait (Space_Available); 
Wait (Mutex); 
Buf (Top) := I; 
Top := Toptl; 
Signal (Mutex); 
Signal (Item_Available); 
end Append; 


procedure Take (I : out Integer) is 
begin 
Wait (Item_Available); 
Wait (Mutex); 
I := Buf (Base); 
Base := Basetl; 
Signal (Mutex); 
Signal (Space_Available); 
end Take; 
end Buffer; 


三 个 信号 量 的 初 值 是 不 同 的 。 Mutex 是 一 一 个 普通 的 互 斥 信号 量 ， 默认 的 初 值 是 1; Item. 
aAvailable 防 止 从 空 缓冲 区 读 ， 初 值 是 0; Space_Available ( 初 值 是 Size) 用 来 防止 向 
满 缓 冲 区 执行 Append 操 作 。 
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当 程 序 开始 执行 时 ， 任 何 调用 Task 的 消费 者 任务 都 将 在 Wait (Item Available) 上 
挂 起 ， 只 有 在 生产 者 任务 调用 Append 并 执行 Signal (Item Available) 时 消费 者 任务 
才 可 能 继续 。 

8.4.6 使 用 C 和 POSIX 的 信号 量 编程 

虽然 几乎 没有 哪 种 编程 语言 直接 支持 信号 量 ， 但 许多 操作 系统 却 支持 。 例 如 POSIX 提 供 
计数 信号 量 ， 使 运行 在 独立 地 址 空间 的 进程 (或 同一 地 址 空间 的 线程 ) 通过 共享 存储 器 实现 
同步 和 通信 。 但 是 ， 在 同一 地 址 空间 使 用 互 斥 锁 (mutex) 和 条 件 变 量 实现 同步 和 通信 的 效率 
更 高 一 一 见 8.6.3 节 。 程 序 8-2 定 义 了 POSIX C 信 和 号 量 的 接口 (也 提供 了 用 字符 串 命名 信号 量 的 
溯 数 ， 但 这 里 我 们 略 去 了 )。 标 准 的 信号 量 操作 initialize、wait 和 signal 在 POSIX 中 称 为 
sem init, sem wait 和 sem_post。 接 口 还 提供 了 sem_trywait 用 于 非 阻 塞 等 待 ; 
sem timedwait 用 于 定时 等 待 ， 因 为 是 由 例 程 确定 当前 信号 量 的 值 (sem_getvalue )。 

研究 一 个 在 实时 程序 里 以 各 种 不 同形 式 出 现 的 资源 控制 器 的 例子 。 为 了 简单 ， 该 例子 使 
用 线程 而 不 是 进程 。 提 供 两 个 函数 : allocate 和 deallocate， 每 个 都 有 一 个 用 来 指明 请 


. 求 的 优先 级 的 参数 。 假 设 调用 线程 释放 资源 和 请 求 资源 的 优先 级 相同 。 为 了 易于 展示 ， 例 子 


不 考虑 资源 是 如 何 传输 的 。 此 外 ， 这 个 解决 方案 也 没有 防止 竞争 条 件 问题 ( 见 练习 8.27 ) 。 


程序 8-2 POSIX C 的 信号 量 接口 
一- 一- MÀ LLL 


#include <time.h> typedef ... sem t; 


int sem init (sem t *sem location, int pshared, unsigned int value); 
/* 把 在 位 置 sem_location 上 的 全 号 量 初 始 化 为 value */ 
/* 如 果 pshared 为 1， 则 信号 量 可 在 进程 或 线程 之 间 使 用 */ 
/* 如 果 pshared 为 0， 则 信号 量 只 能 在 同一 进程 的 线程 之 间 使 用 */ 
int sem_destroy (sem_t *sem_location); 
/* 清除 在 位 置 sem_Location 上 的 无 名 信号 量 */ 
int sem wait (sem t *sem location); 
/* 信 号 量 上 的 标准 等 待 操作 */ 
int sem_trywait (sem_t *sem_location); 
/* 试图 减少 信号 量 */ 
/* 如 果 调 用 可 能 阻塞 调用 进程 ， 返 返回 -1 */ 


int sem | timedwait (sem t *sem, const struct timespec *abstime); 


/* 如 果 信 号 量 在 时 间 abstime 之 前 不 能 被 锁 住 ， 返 回 -1 */ 
int sem_post (sem_t *sem_location); 
/* 信号 量 上 的 标准 发 信号 操作 */ 
int sem_getvalue (sem_t *sem_location, int *value); 
/* 取信 号 量 的 当前 值 到 由 value 指向 的 位 置 ; 负 值 表示 等 待 线 程 的 个 数 */ 


/* 上 述 所 有 函数 如 果 成 功 ， 就 返回 9。 ， 否 则 返回 -1。*/ 
/* 当 上 述 任何 一 个 函数 返回 出 错 状 态 时 ，*/ 
/* 共享 变量 errno 包含 这 个 出 错 的 原因 */ 


一 ÉL 


#include «semaphore.h» 


typedef enum {high, medium, low} priority t; 
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typedef enum {false, true} boolean; 


sem t mutex; /* 用 于 对 等 待 和 忙碌 的 互 斥 访问 */ 
sem t cond(3]; /* 用 于 条 件 同步 */ 
int waiting; /* 在 一 个 优先 级 级 别 等 待 的 线程 的 个 数 */ 
int busy; /* 指出 读 资 源 是 否 在 用 */ 
void allocate (priority t P) 
{ 
SEM WAIT (&mutex); /* if mutex */ 
if (busy) { 
SEM POST (&mutex); /* 释放 mutex */ 
SEM_WAIT ( &cond [P] ); /* 在 正确 优先 级 上 等 待 */ 
/* 资 源 已 被 分 配 */ 
} 
busy = true; 
SEM POST (&mutex); /* 释放 mutex */ 
} 


一 个 简单 的 信号 量 mutex 被 用 来 确保 所 有 分 配 和 回收 请 求 以 互 斥 的 方式 处 理 。 三 个 条 件 同步 
信号 量 cond[3 ] ， 用 于 在 三 个 优先 级 (high. mediumfülow) 上 排队 等 待 线程 。 函 数 
allocate 在 资源 未 被 使 用 时 (由 标志 busy 指 示 ) 分 配 资源 。 

回收 函数 只 是 简单 地 通知 优先 级 最 高 的 等 待 者 的 信号 量 。 

int deallocate (priority t P) 

( 


SEM WAIT (&mutex); /* {E mutex */ 
if (busy) ( 
busy - false; 
/* 释放 最 高 优先 级 等 待 线程 */ 
SEM GETVALUE (&cond[high], &waiting); 
if (waiting < 0) { 
SEM_POST (&cond[high]); 
} 
else { 
SEM GETVALUE (&cond[medium], &waiting); 
if (waiting « 0) { 
SEM POST (&cond(medium]); 
} 
else { 
SEM_GETVALUE (&cond [low], &waiting); 
if (waiting < 0) { 
SEM POST (&cond[low]); 
) 
else SEM POST (&mutex); 
/* 没有 等 待 者 ， 释放 锁 */ 
} 
} 
/* 资源 和 锁 传 递 给 最 高 优先 级 线程 */ 
return 0; 
} 


else return -1; /* 出 错 返 回 */ 
} 
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初始 化 例 程 将 标志 busy 置 为 false， 并 创建 由 allocate 和 deallocate 使 用 的 四 个 信和 号 量 。 
void initialise () { 
priority t i; 
busy - false; 
SEM INIT (&mutex, 0, 1); 
for (i = high; i«- low; i++) ( 
SEM INIT (&cond[i] , O, 0); 
} 
} 
由 于 C 同 POSIX 的 绑 定 使 用 非 零 返 回 值 指示 有 错误 发 生 ， 所 以 必须 将 每 个 POSIX 调 用 都 封装 在 
一 个 主语 名 块 里 。 这 使 得 代码 更 难 理解 (Ada 和 C++ 同 POSIX 的 绑 定 采取 了 当 有 错误 发 生 时 就 
引发 异常 的 策略 )。 因 而 ， 同 本 书 中 的 其 他 C 例 子 一 样 ， 使 用 SYS_CRALL 代 表 对 sys_cal1 的 调 
用 和 任何 合适 的 出 错 恢复 ( 见 6.1.1 节 )。 对 于 SEM_INIT 可 能 还 包括 重 试 (retry). 
希望 使 用 资源 的 线程 可 能 会 发 出 以 下 的 调用 : 


priority t my Priority; 


allocate (my priority); /* 等 待 资源 */ 
/* 使 用 资源 */ 
if (deallocate (my priority) <= 0) { 
/* 不 能 回收 资源 ， 执 行 某 个 恢复 操作 */ 
} 
8.4.7 对 信号 量 的 批评 
虽然 信号 量 是 一 个 优雅 的 低级 同步 原 语 ， 但 是 建立 在 只 使 用 信号 量 上 的 实时 程序 还 是 易 
出 错 的 。 哪 怕 对 信号 量 的 一 次 遗漏 和 放 错 地 方 都 会 在 运行 时 导致 整个 程序 崩溃 。 当 软件 在 处 
理 稀少 但 却 很 关键 的 事件 时 ， 信 号 量 可 能 不 能 确保 互 尺 ， 并 且 可 能 发 生死 锁 。 我 们 需要 的 是 
一 个 更 结构 化 的 同步 原 语 。 
信号 量 所 提供 的 就 是 一 种 在 临界 段 编程 处 理 互 斥 的 方法 。 一 个 更 结构 化 的 方法 将 直接 处 
理 互 斥 。 我 们 将 在 8.5 到 8.8 节 讨论 这 些 结构 。 
在 8.4.5 节 给 出 的 例子 表明 了 一 个 用 Ada 为 信号 量 构建 的 抽象 数据 类 型 。 然 而 ， 没 有 一 种 高 
级 并 发 编程 语言 是 完全 依赖 信号 量 的 。 它 们 有 很 重要 的 历史 意义 ， 但 按理 说 它们 对 实时 领域 
并 不 合适 。 


8.5 条 件 临界 区 


条 件 临 界 区 (conditional critical region, CCR) 试图 克服 同 信 号 量 有 关 的 一 些 问 题 。 临 界 
区 是 一 段 被 确保 可 以 互 斥 执行 的 代码 。 这 必须 和 临界 段 的 概念 进行 比较 : 临界 段 是 应 该 互 斥 
执行 的 代码 段 (但 在 出 错 的 情况 下 却 有 可 能 不 是 )。 很 明显 ， 把 临界 段 编 程 为 临界 区 肯定 符合 
互 斥 要 求 。 

那些 受到 保护 不 被 并 发 使 用 的 变量 可 以 被 分 组 成 不 同 的 命名 区 域 ， 并 标记 为 资源 。 当 有 
一 个 进程 在 临界 区 内 已 经 是 活动 的 时 候 ， 其 他 进程 不 能 进入 这 个 临界 区 。 条 件 同步 由 位 于 这 
些 区 的 守备 提供 。 当 某 个 进程 想 进 入 一 个 临界 区 时 ， 它 会 评估 守备 的 值 (在 互 斥 的 条 件 下 )， 
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如 果 守 备 为 真 ， 那 么 它 就 进入 ; 反之 该 进程 被 延迟 。 正 如 信号 量 一 样 ， 当 有 多 个 进程 被 延迟 
而 试图 进入 同一 临界 区 时 (不 管 有 什么 原因 )， 程 序 员 不 应 该 假定 任何 访问 题 序 。 
为 了 说 明 CCR 的 用 法 ， 下 面 给 出 有 界 缓冲 区 程序 的 一 个 框架 : 


program buffer_eg; 
type buffer_t is record 


slots : array (1..N) of character; 
size : integer range 0..N; 
head, tail : integer range 1..N; 


end record; 
buffer : buffer t; 
resource buf : buffer; 
process producer; 
loop 
region buf when buffer.size « N do 


-- 将 字符 放 进 缓冲 区 等 


end region 


end loop; 
end 


process consumer; 
loop 
region buf when buffer.size > 0 do 


-- 从 缓冲 区 取 字 符 等 


end region 


end loop; 
end 
end 


使 用 CCR 的 一 个 潜在 性 能 问题 是 ， 每 当 进程 离开 指名 这 个 资源 的 CCR 时 ， 这 些 进程 必须 
重新 测试 它们 的 守备 。 为 了 测试 守备 ， 挂 起 的 进程 必须 再 次 变 成 可 执行 的 ， 如 果 测 试 结果 仍 
然 是 false， 该 进程 又 必须 返回 到 挂 起 状态 。 

一 个 CCR 的 版 本 已 在 Edison 中 实现 (Brinch-Hansen，1981)，Edison 是 一 种 在 多 处 理 器 系 
统 上 实现 的 用 于 在 入 式 应 用 的 语言 。 由 于 每 个 处 理 器 只 执行 单个 进程 ， 所 以 它 可 以 在 必要 的 
时 候 很 方便 地 测试 其 守备 。 但 是 ， 这 也 会 引起 网 络 流量 过 量 问题 。 


86 BE 


条 件 区 的 主要 问题 是 它们 可 以 分 散在 整个 程序 中 。 管 程 (monitor) 提供 更 加 结构 化 的 控 
制 区 ， 目 的 是 减轻 这 个 问题 。 管 程 也 使 用 了 一 种 更 有 效 实现 的 条 件 同步 形式 。 

预期 中 的 临界 区 被 写成 过 程 的 形式 ， 并 封装 在 一 起 ， 称 为 管 程 的 单个 模块 。 作 为 模块 ， 
所 有 必须 在 互 尺 条 件 下 访问 的 变量 是 隐藏 的 ， 另 外， 作为 管 程 ， 所 有 在 模块 里 的 过 程 调用 都 
被 保证 在 互 斥 的 条 件 下 执行 。 


t2 
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管 程 是 作为 条 件 临 界 区 的 一 种 改进 形式 出 现 的 ，Dijkstra ( 1968b ) Brinch-Hansen (1973) 
和 Hoare (1974) 进行 过 这 种 结构 的 最 初 设计 和 分 析 。 许 多 编程 语言 都 有 管 程 这 种 设施 ， 例 如 
Modula-1、 并 发 Pascal 和 Mesa 。 

为 了 比较 ， 继 续 有 界 缓冲 区 的 例子 ， 一 个 缓冲 区 管 程 会 有 如 下 的 结构 : 

monitor buffer; 


export append, take; 
var (* 必要 变量 的 声明 *) 


procedure append (I : integer); 


end; 


procedure take (var I : integer); 


end; 
begin 
C 管 程 变量 的 初始 化 * ) 
end 
对 于 像 Modula-2 和 Ada 这 样 的 语言 ,把 缓冲 区 作为 一 个 不 同 的 模块 ( 包 ) 编程 是 很 自然 的 。 
管 程 也 采用 这 种 方法 。 模 块 和 管 程 之 间 惟 一 的 不 同 是 ， 对 于 后 者 来 说 ，( 上 例 中 ) 对 appena 
和 /或 take 方 法 的 并 发 调用 按 定义 是 串 行 化 的 。 对 于 管 程 来 说 ， 不 需要 互 斥 信号 量 。 
虽然 为 互 斥 作 好 了 准备 ， 但 在 管 程 中 仍然 需要 条 件 同步 。 理 论 上 ， 信 号 量 仍然 可 以 使 用 ， 
但 通常 只 提供 了 一 个 简单 的 同步 原 语 。 在 Hoare 的 管 程 中 (Hoare，1974)， 这 个 原 语 被 称 为 条 件 
变量 ， 有 两 个 施加 在 该 变量 上 的 操作 ， 由 于 这 两 个 操作 跟 信号 量 结构 类 似 ， 所 以 它们 又 被 称 为 
wait 和 signal。 当 一 个 进程 进行 wait 操 作 时 ， 该 进程 被 阻塞 (EE) 并 且 被 放 在 与 该 条 件 变 
基 相 关联 的 队列 中 (这 可 以 和 一 个 值 为 0 的 信号 量 上 的 wait 操 作对 比 ; 然而 ， 值 得 注意 的 是 在 
条 件 变量 上 的 wait 操 作 总 是 阻塞 ， 这 一 点 与 在 信号 量 上 的 wait 不 同 )。 然 后 ， 被 阻塞 进程 释放 
它 在 管 程 上 的 互 斥 ， 从 而 允许 另 一 个 进程 进入 。 当 一 个 进程 执行 signal 操 作 时 ， 它 将 释放 一 
个 被 阻塞 的 进程 。 如 果 没 有 进程 在 特定 的 条 件 变 量 上 阻塞 ， 那 么 signal 操 作 无 任何 影响 。 (Rf 
次 注意 ， 相 比 之 下 作用 在 信号 量 上 的 signal1 操 作 总 是 对 信号 量 有 影响 。 实 际 上 ， 对 管 程 的 
wait 和 signal 在 语义 上 更 类 似 于 suspend 和 resume。) 有 界 缓 冲 区 例子 的 完整 代码 如 下 : 
monitor buffer; 
export append, take; 
const size = 32; 
var buf : array[0 ...size-1] of integer; 
top, base : 0..size-1; . 
SpaceAvailable, ItemAvailable : condition; 
NumberInBuffer : integer; 
procedure append (I : integer); 
begin 
if NumberInBuffer = size then 
wait (SpaceAvailable); 
buf [top] : = I; 
NumberInBuffer :- NumberInBuffer+1; 
top := (top+l) mod size; 
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signal (ItemAvailable) 
end append; 


procedure take (var I : integer); 
begin 
if NumberInBuffer = 0 then 
wait (ItemAvailable); 


I : = buf[base]; 
base := (base-*1) mod size; 
NumberInBuffer := NumberInBuffer-1; 


signal (SpaceAvailable) 
end take; 


begin (* 初始 化 *) . 


NumberInBuffer := 0; 
top : = 0; 
base := 0 

end; 


如 果 一 个 进程 在 缓冲 区 为 空 的 情况 下 调用 take ， 那 么 它 将 在 Ttemavailable 上 挂 起 。 
然而 ， 向 缓冲 区 加 入 项 的 进程 将 在 有 一 个 项 成 为 可 用 时 唤醒 这 个 挂 起 的 进程 。 

上 面 所 给 的 wait 和 signal1 语 义 是 不 完整 的 ， 正 如 它们 所 表达 的 ， 两 个 或 多 个 进程 可 以 
在 一 个 管 程 内 成 为 活动 的 。 这 种 情况 会 紧 跟 着 阻塞 进程 被 释放 的 signal 操 作 发 生 。 被 释放 的 
进程 和 释放 该 进程 的 进程 都 在 管 程 内 执行 。 为 了 防止 这 种 不 希望 有 的 活动 ， 必 须 改变 signal 
操作 的 语义 。 在 语言 中 可 以 使 用 如 下 四 种 方法 : 

1) signal 仅 作为 进程 离开 管 程 之 前 的 最 后 操作 (这 就 是 上 面 缓冲 区 例子 的 情况 )。 

2) signal 操 作 还 具有 执行 返回 语句 的 副作用 ， 也 就 是 说 ， 进 程 将 被 强迫 离开 管 程 。 

3) 解除 另 一 个 进程 阻塞 的 signal 操 作 有 阻塞 自己 的 效果 ， 该 进程 仅 在 管 程 空闲 时 后 可 
以 再 次 执行 。 

4) 解除 另 一 个 进程 阻塞 的 signal 操 作 不 会 阻塞 而且， 一 旦 发 信号 进程 退出 ， 被 释放 
的 进程 必须 通过 竞争 来 获得 对 管 程 的 访问 。 

(3) 是 Hoare 在 他 的 有 关 管 程 的 最 初 论文 里 提出 的 ， 由 于 signal 操 作 而 被 阻塞 的 进程 放 在 
就绪 队列”， 管 程 空闲 时 ， 就 先 于 在 人口 阻塞 的 进程 被 选择 执行 。(4) 的 情况 是 把 被 释放 的 进 
程 放置 在 “就 结 队列 ”里 。 

由 于 管 程 的 重要 性 ， 下 面 简要 介绍 两 种 支持 这 种 结构 的 语言 。 

8.6.1 Modula-1 


Modula-1 ( 它 现在 很 知名 ) 是 Modula-2 和 Modula-3 的 先驱 ， 但 却 有 一 个 显著 不 同 的 进程 
模型 。 它 使 用 显 式 进程 声明 (不 是 合作 例 程 ) MER, 而 管 程 被 称 为 接口 模块 。 条 件 变 量 被 
称 为 信号 (这 可 能 会 让 人 有 些 困 惑 )， 并且 有 三 个 作用 于 它 的 过 程 。 

1) 过 程 wait (s,r) 延迟 调用 进程 直到 它 收 到 信号 s 为 止 。 延 迟 时 ， 给 这 个 进程 一 个 优 
ERr (或 延迟 级 别 r )，r 必 须 是 一 个 默认 值 为 1 的 正 值 整 型 表达 式 。 

2) 过 程 send (s) 发 送信 号 s 给 在 等 待 信号 s 中 有 着 最 高 优先 级 的 进程 。 如 果 几 个 等 待 进 
程 有 着 同样 的 优先 级 ， 那 么 那个 等 待 时 间 最 长 的 进程 接受 该 信号 ， 执行 发 送 的 进程 被 挂 起 。 
如 果 没 有 等 待 进程 ， 那 么 这 个 调用 没有 任何 效果 。 
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3) 7h REP awaited (s) 用 来 测试 是 否 在 s 上 有 阻塞 的 进程 ， 如 果 至 少 有 一 个 ， 那 


么 函数 值 为 真 ， 反 之 为 假 。 
下 面 是 Modula-1 接 口 模块 的 一 个 例子 。 它 实现 了 前 面 用 信号 量 编程 的 资源 控制 需求 : 


INTERFACE MODULE resource control; 
DEFINE allocate, deallocate;  (* 出 口 表 *) 


VAR busy : BOOLEAN; 
free : SIGNAL; 


PROCEDURE allocate; 


BEGIN 
IF busy THEN WAIT (free) END; 
busy := TRUE; 

END; 


PROCEDURE deallocate; 
BEGIN 

busy := FALSE; 

SEND (free) 
END; 


BEGIN (* 模块 的 初始 化 * ) 
busy := FALSE 
END. 


注意 在 deallocate 中 可 以 插入 
if AWAITED (free) then SEND (free) 
但 由 于 SEND (free) 的 效果 为 空 ， 当 RWITED (free) XBR, 进行 这 个 测试 将 不 会 获得 
任何 效果 。 
8.6.2 Mesa 


到 目前 为 止 ， 假设 当 挂 起 进程 被 解除 阻塞 时 ， 引 起 它 被 阻塞 的 条 件 将 不 再 成 立 。 例如 ， 等 
待 资 源 释放 (也 就 是 说 ， 不 是 忙 等 待 ) 而 被 阻塞 的 进程 可 以 假设 当 其 再 次 执行 时 它 已 被 释放 
了 。 类 似 地 ， 在 一 个 有 界 缓冲 区 管 程 里 延迟 的 进程 一 旦 再 次 执行 ， 就 可 以 继续 它 自 己 的 动作 。 

Mesa (Lampson and Redell, 1980) 采用 了 一 种 不 同 的 方法 。Mesa 有 一 个 “wait” 操作 ， 
但 进程 却 不 能 假设 当 其 被 唤醒 时 那个 引起 阻塞 的 条 件 就 消失 了 。 “notify”( 对 比 signal) 操作 
只 是 表明 被 阻塞 进程 应 该 重新 测试 这 个 条 件 。 Mesa 也 支持 广播 (broadcast) 操作 ， 该 操作 通 
知 所 有 在 某 个 特定 条 件 下 等 待 的 进程 ( 为 了 保持 管 程 的 排 它 性 这 些 进程 一 次 只 能 被 唤醒 一 个 )。 
执行 notify 或 broadcast 操 作 的 进程 不 会 被 阻塞 。 

在 Mesa 管 程 里 允许 三 种 过 程 : 入 口 过 程 ， 内 部 过 程 和 外 部 过 程 。 人 口 过 程 与 管 程 锁 一 起 
执行 。 只 可 以 由 入 口 过 程 发 出 对 内 部 过 程 的 调用 (在 Modula-1 中 ， 内 部 过 程 根本 不 在 定义 列 
表 中 出 现 )。 外 部 过 程 可 以 在 没有 管 程 锁 的 情况 下 被 调用 ， 用 来 观察 管 程 的 当前 状态 。 它 们 不 
能 改变 变量 、 调 用 内 部 过 程 或 使 用 条 件 变量 。 这 些 限 制 在 编译 时 进行 检查 。 

为 了 给 出 一 个 Mesa 管 程 的 例子 ， 研 究 一 下 资源 分 配 问 题 的 求 精 。 这 里 不 简单 地 是 管理 忙 或 
闲 的 资源 ， 而 是 管 程 必 须 控制 对 N 个 资源 实例 的 访问 。 分 配 请 求 把 要 求 的 资源 实例 的 个 数 (< 
N) 作为 参数 传递 。 为 了 简化 ， 在 allocate 和 deallocate 过 程 中 这 个 请 求 参数 将 不 被 检查 。 为 了 获 
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得 安全 的 结构 ， 有 必要 对 返回 一 组 资源 的 进程 进行 检查 ， 希 看 是 否 确实 已 经 将 它们 返回 。 安 全 
资源 控制 将 在 第 11 章 讨论 。Mesa 代 码 就 在 下 面 ， 过 程 Eree_resources 被 用 来 说 明 外 部 过 程 。 
读者 应 该 可 以 理解 这 个 模块 而 不 必 知 道 更 多 的 Mesa 知 识 (注意 在 Mesa 中 赋值 操作 符 是 <- )。 


Resource Control : monitor = 
begin 

const N = 32; 

free : condition; 

resource free : positive «- N; 


allocate : entry procedure[size : positive] - 
begin 
do 
if size <= resource free then exit; -- 从 循环 退出 
wait free; 
endioop; 
resource free «- resource free - size; 
end; 


deallocate : entry procedure[size : positive] = 
begin 

localfree[size]); 

broadcast free; 
end; 


localfree : internal procedure [S : positive) 
begin 

resource free «- resource free + S; 
end; 


free resources : external procedure return(p : positive] = 
begin 
p <- resource free; 
end; 
end; 


因为 回收 操作 可 以 为 大 量 的 阻塞 分 配 进程 继续 执行 释放 足够 的 资源 ， 所 以 进行 一 次 广播 。 
所 有 被 阻塞 的 进程 (在 free 上 ) 将 按 次 序 执行 : 如 果 当 前 的 size 小 于 或 等 于 resource_ free, 
则 获得 资源 ， 否 则 再 次 被 阻塞 。 

如 果 Mesa 不 支持 广播 设施 ， 那么 程序 员 将 不 得 不 保持 一 个 被 阻塞 进程 的 计数 器 ， 并 为 每 
个 进程 解除 进程 链 中 下 一 个 进程 的 阻塞 。 这 是 由 于 notify 操 作 的 语义 造成 的 ， 它 不 阻塞 进程 。 
在 Modula-1 中 ， 这 是 隐 式 地 做 到 的 ， 因为 send 操 作 确实 会 引起 到 被 唤醒 进程 的 上 下 文 切换 。 


PROCEDURE allocate (size : INTEGER); 
BEGIN 
WHILE size > resource free DO 
WAIT (free); 
SEND (free) 
END; 
resource free :- resource free - size 
END; 


PROCEDURE deallocate (size : INTEGER); 
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BEGIN 
resource free := resource_free + size; 
SEND (free) 
END; 


如 果 语 言 支持 定量 信号 量 ， 那 么 分 配 和 回收 过 程 会 非常 简单 : 


procedure allocate (size : integer); 
begin 
wait (QS, size) 


end; 


procedure deallocate (size : integer); 
begin 

signal (QS, size) 
end; 


这 里 QS 是 一 个 定量 信号 量 ， 被 初始 化 为 系统 的 总 资源 数 。 
8.6.8 POSIX 互 斥 锁 和 条 件 变量 
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在 8.4.6 节 中 ，POSIX 信 号 量 被 描述 为 在 进程 之 间 和 线程 之 间 使 用 的 机 制 。 假 如 支持 对 
POSIX 的 线程 扩展 ， 那 么 在 同一 地 址 空间 的 线程 之 间 使 用 信号 量 进行 通信 和 同步 的 代价 是 很 
高 的 ， 高 得 如 同 非 结构 化 的 一 样 。 互 斥 锁 (mutex) 和 条 件 变量 合 起 来 提供 了 管 程 的 功能 ， 却 


有 一 个 过 程 化 接口 。 程 序 8-3 定 义 了 基本 C 接 口 以 及 一 些 处 理 属性 对 象 的 函数 。 
程序 8-3 C 同 POSIX 互 斥 锁 和 条 件 变量 的 接口 


#include <time.h> 


typedef ... pthread_mutex_t; 
typedef ... pthread_mutexattr_t; 
typedef ... pthread cond t; 


typedef ... pthread condattr t; 


int pthread mutex init (pthread mutex t *mutex, 


const pthread mutexattr t *attr); 


/* 将 一 个 互 斥 锁 的 某 些 属性 初始 化 */ 

int pthread mutex destroy (pthread mutex t *mutex); 
/* 销毁 一 个 互 斥 锁 */ 
/* 未 定义 行为 ， 如 果 这 个 互 斥 锁 被 锁 上 的 话 */ 


int pthread mutex lock (pthread mutex t *mutex); 
/* 锁 上 这 个 互 斥 锁 ; 如 果 已 经 锁 上 ， 挂 起 调用 线程 */ 
/* 该 互 斥 锁 的 拥有 者 是 锁 上 它 的 那个 线程 */ 

int pthread mutex trylock (pthread_mutex_t *mutex); 
/* 像 对 锁 一 样 ， 但 如 果 该 互 斥 锁 已 经 锁 上 ， 返 回 - -个 错误 */ 


int pthread mutex timedlock (pthread mutex t *mutex, 


const struct timespec *abstime); 


/* 像 对 锁 一 样 ， 但 如 果 超 时 后 还 得 不 到 锁 ， 返 回 一 个 错误 */ 


int pthread_mutex_unlock (pthread_mutex_t *mutex); 
/* 为 该 互 斥 锁 解 锁 ， 如 果 是 由 拥有 者 线程 调用 */ 
/* 未 定义 行为 ， 如 果 调用 线程 不 是 拥有 者 */ 
/* 未 定义 行为 ， 如 果 该 互 斥 锁 未 锁 上 */ 
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/* 成 功 时 ， 结 果 是 释放 一 个 阻塞 线程 */ 
int pthread_cond_init (pthread_cond_t *cond, 
const pthread condattr t *attr); 
/* 将 一 个 条 件 变量 的 某 些 属性 初始 化 */ 
int pthread_cond_destroy (pthread_cond_t *cond); 
/* 销毁 一 个 条 件 变 量 */ 
/* 来 定义 行为 ， 如 果 线 程 在 这 个 条 件 变 量 上 等 待 的 话 */ 
int pthread cond wait (pthread cond t *cond, 
pthread mutex t *mutex); 
/* 由 拥 有 一 个 被 锁 上 的 互 斥 锁 的 线程 调用 */ 
/* 未 定义 行为 ， 如果 该 互 斥 锁 未 锁 上 */ 
/* 原子 地 将 该 调用 线程 阻塞 在 cond 变量 上 ， 并 释放 mutex 的 锁 */ 
/* 成 功 返回 表示 该 互 尺 锁 已 被 锁 上 */ 
int pthread cond timedwait (pthread_cond_t *cond, 
pthread mutex t *mutex, const struct timespec *abstime); 


/* 同 pthread_cond wait， 除 了 如 果 超 时 到 期 ， 返 回 一 个 错误 */ 


int pthread cond signal (pthread cond t *cond); 
/* 为 至 少 一 个 被 阻塞 的 线程 解除 阻塞 */ 
/* 如 果 没 有 阻塞 线程 ， 则 无 任何 影响 */ 
/* 被 解除 阻 寒 的 线程 自动 地 竞争 关联 的 互 斥 锁 */ 
iht pthread_cond broadcast (pthread_cond_t *cond); 
/* 为 所 有 阻塞 线程 解除 阻塞 */ 
/* 如 果 没 有 阻塞 线程 ， 则 无 任何 效果 */ 
/* 被 解除 阻塞 的 线程 自动 地 竞争 关联 的 互 斥 锁 */ 


/* 所 有 上 述 函 数 ， 如 果 成 功 ， 返 回 0 */ 
eee 
每 个 管 程 都 有 一 个 关联 的 〈 已 初始 化 ) mutex 变 量 ， 在 管 程 (ERE) 上 的 所 有 操作 都 是 由 
对 mutex 的 加 锁 (pthread_mutex_lock) 和 解锁 (pthread mutex unlock) 的 调用 包围 
起 来 的 。 通 过 将 mutex 同 条 件 变 量 关 联 起 来 提供 条 件 同步 。 注 意 ， 当 线程 在 条 件 变 量 
(pthread cond wait, pthread cond timedwait) 上 等 待 时 ， 它 在 相关 联 的 mutex 上 的 
锁 被 释放 。 还 有 ， 当 线程 成 功 地 从 条 件 等 待 返回 时 ， 它 又 对 mutex 上 锁 。 然 而 ， 因为 可 能 会 有 多 
个 线程 被 释放 (pthread_cond_ signal)， 程 序 员 必 须 再 次 测试 最 初 引 | 起 线程 等 待 的 条 件 。 
考虑 下 面 使 用 互 床 和 条 件 变 量 的 整数 有 界 缓冲 区 。 缓 冲 区 由 以 下 几 部 分 组 成 : 一 个 
mutex ， 两 个 条 件 变 量 (buffer not fullfübuf fer_not_empty)， 缓 冲 区 的 项 目 计数 ， 
缓冲 区 本 身 和 缓冲 区 里 第 一 个 和 最 后 一 个 项 的 位 置 。 例 程 4ppend 对 缓冲 区 加 锁 ， 当 缓冲 区 满 
时 ， 在 条 件 变 量 buffer_not_full 上 等 待 。 当 缓冲 区 有 空闲 空间 时 ， 整 型 数据 项 被 放 入 组 
冲 区 ，mutex 被 解锁 ， 发 送 buffer_not_empty 信 号 。 take 例 程 在 结构 上 也 是 类 似 的 。 
#include «pthreads.h» 


#define BUFF SIZE 10 


typedef struct { 
pthread mutex t mutex; 
pthread cond t buffer not full; 
pthread cond t buffer not empty; 
int count, first, last; 
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int buf[BUFF_SIZE]; 
} buffer; 


int append (int item, buffer *B ) { 
PTHREAD_MUTEX_LOCK (&B->mutex); 
while (B->count == BUFF_SIZE) 
PTHREAD COND WAIT (&B->buffer_not_full, &B->mutex); 
/* 放 数 据 到 缓冲 区 ， 并 更 新 count 和 last */ 
PTHREAD COND SIGNAL (&B->buffer_not_empty); 
PTHREAD MUTEX UNLOCK (&B-»mutex); 


return 0; 


int take (int *item, buffer *B ) ( 
PTHREAD MUTEX LOCK (&B-»2mutex); 
while (B->count == 0) 

PTHREAD COND WAIT (&B->buffer not empty, &B-»mutex); 

/* 从 缓冲 区 取 数 据 ， 并 更 新 count 和 first */ 
PTHREAD COND SIGNAL (&B->buffer_not_full); 
PTHREAD MUTEX UNLOCK (&B- »mutex); 
return 0; 


} 

/* 还 需要 一 个 函数 initialize () */ 

虽然 互 斥 和 条 件 变 量 都 作为 管 程 的 一 种 类 型 ， 但 当 线程 从 条 件 等 待 释放 和 其 他 线程 试图 
访问 临界 区 时 ， 它 们 的 语义 是 不 同 的 。 在 POSIX 中 并 没有 规定 哪个 线程 去 接替 ， 除 非 使 用 基 
于 优先 权 的 调度 ( 见 13.14.2)。 对 于 大 多 数 管 程 ， 给 予 被 释放 的 线程 以 优先 。 

8.6.4 dede SES 

管 程 的 使 用 还 存在 许多 问题 ， 但 最 引 人 关 注 的 是 在 一 个 管 程 里 调用 另 一 个 管 程 的 过 程 的 
语义 是 什么 。 

有 争议 的 是 : 如 果 一 个 发 出 谋 套 管 程 调用 的 进程 在 另 一 个 管 程 里 被 挂 起 ， 将 会 

发 生 什 么 (如 果 有 的 话 )。 在 最 后 管 程 调用 里 的 互 斥 将 被 进程 放弃 ， 这 是 因为 等 待 和 

等 价 操 作 的 语义 。 然 而 ， 来 自 吐 套 管 程 调用 的 互 斥 将 不 会 被 进程 放弃 。 试图 调用 在 

这 些 管 程 里 的 过 程 的 进程 将 被 阻塞 。 这 有 性 能 上 的 囊 义 ， 因 为 阻塞 将 会 减少 系统 呈 

现 的 并 发 性 的 数量 。(Lampson and Redell, 1980) 

已 经 提出 了 针对 修 套 管 程 问题 的 各 种 解决 方法 。 其 中 最 流行 的 、 也 被 Java、POSIX、 
Mesa 所 采用 一 个 方法 是 维持 锁 。 其 他 的 方法 包括 禁止 缺 套 过 程 调用 (如 Modula-1 那 样 ) 和 提 
供 一 些 构 造 ， 这 些 构 造 规定 在 远程 调用 时 ， 某 些 管 程 过 程 可 以 释放 它们 的 互 斥 锁 。 

8.6.5 对 管 程 的 批评 

管 程 对 有 界 缓冲 区 这 样 的 互 斥 问题 给 出 了 一 个 结构 化 和 雅致 的 解决 方案 。 然 而 它 不 能 很 
好 地 处 理 管 程 外 的 条 件 同 步 问题 。 例如 ， 在 Modula-1 中 ， 信号 是 一 种 通用 编程 特性 而 不 局 限 
于 管 程 内 使 用 。 因 此 基于 管 程 的 语言 表示 了 高 级 和 低级 原 语 的 混合 。 所 有 围绕 使 用 信号 量 的 
批评 同样 针对 条 件 变量 (如 果 不 是 更 多 的 话 )。 

另外 ， 虽然 管 程 封装 了 所 有 与 资源 相关 的 实体 ， 同时 也 提供 了 重要 的 互 斥 ， 但 由 于 条 件 
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变量 的 使 用 ， 其 内 部 结构 仍然 可 读 性 差 。 
8.7 保护 对 象 


对 管 程 的 批评 集中 在 条 件 变量 的 使 用 。 通 过 使 用 守备 来 取代 这 种 同步 方法 ， 可 以 获得 一 
种 更 结构 化 的 抽象 。 这 种 管 程 形式 被 命名 为 保护 对 象 。Ada 是 提供 这 种 机 制 的 为 数 不 多 的 语言 
之 一 ， 因 此 下 面 用 Ada 来 描述 它 。 

Ada 保 护 对 象 封装 数据 项 ， 并 且 只 可 以 通过 保护 子 程序 或 保护 入 口 访问 这 些 数据 项 。Ada 
语言 保证 这 些 子 程序 和 入 口 的 执行 方式 确保 数据 更 新 在 互 斥 下 进行 。 条 件 同步 通过 在 人 口 点 
的 布尔 表达 式 (它们 就 是 守备 ， 但 在 Ada 中 称 为 屏障 (barrier) ) 提供 ， 在 任务 允许 进入 之 前 
测试 布尔 表达 式 的 值 是 否 为 真 。 因 此 保护 对 象 非常 像 管 程 和 条 件 临界 区 。 保 护 对 象 提供 了 具 
有 条 件 临界 区 的 高 级 同步 机 制 的 管 程 结构 化 设施 。 

保护 单元 可 被 声明 为 类 型 或 者 是 单个 实例 ， 它 有 规格 说 明和 体 ( 因此 其 声明 方式 类 似 于 
任务 )。 其 规格 说 明 可 以 包含 函数 、 过 程 和 入 口 项 。 

下 面 的 声明 描述 了 保护 类 型 如 何 用 来 提供 简单 的 互 斥 : 

-- 一 个 简单 的 整数 


protected type Shared_Integer (Initial_value : Integer) is 
function Read return Integer; 
procedure Write (New Value : Integer); 
procedure Increment (By : Integer); 
private 
The Data : Integer :- Initial Value; 
end Shared Integer; 


My Data : Shared Integer (42); 


以 上 的 保护 类 型 封装 了 一 个 共享 整数 。 对 象 My_Data 声 明了 该 保护 类 型 的 一 个 实例 并 给 封装 的 
数据 传递 了 一 个 初始 值 。 封 装 的 数据 现在 只 可 以 通过 三 个 子 程序 来 访问 ，Read，Write 和 
Increment. 

保护 过 程 对 封装 数据 提供 了 互 斥 的 读 写 访问 。 在 这 种 情况 下 ， 对 过 程 Write 或 Increment 
的 并 发 调用 将 被 互 尺 执行 ， 也 就 是 说 在 任何 时 刻 都 只 能 有 一 个 操作 执行 。 

保护 函数 对 封装 数据 提供 了 并 发 只 读 访 问 。 在 上 面 的 例子 中 ， 这 意味 着 可 以 有 多 个 对 
Read 操 作 的 调用 同时 执行 。 但 是 对 保护 函数 和 保护 过 程 的 调用 仍然 必须 互 斥 执 行 。 假如 当前 
有 一 个 过 程 调用 执行 ， 那 么 对 Read 的 调用 就 不 能 执行 ， 同 样 的 ， 如 果 有 一 个 或 者 多 个 并 发 执 
行 的 函数 调用 ， 那 么 对 过 程 的 调用 也 不 能 执行 。 

Shared_Integer 的 体 就 只 是 : 


protected body Shared Integer is 
function Read return Integer is 
begin | 
return The_Data; 
end Read; 


procedure Write (New Value : Integer) is 
begin 


The Data :- New Value; 
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end Write; 
procedure Increment (By : Integer) is 
begin 
The Data :- The Data + By; 
end Increment; 
end Shared Integer; 


保护 入口 类 似 于 保护 过 程 ， 因 为 它 也 确保 在 互 斥 的 条 件 下 执行 ， 并 对 封装 数据 具有 读 写 
访问 权 。 然 而 ,保护 入 口 在 保护 对 象 的 体内 有 一 个 布尔 表达 式 (屏障 ) 作为 守备 ， 当 发 出 入 
口 调用 时 ， 如 果 该 屏障 测试 为 假 ， 那 么 调用 将 被 挂 起 直到 屏障 测试 为 真 且 在 保护 对 象 内 没有 
其 他 任务 活动 。 因 此 保护 人 口 调用 可 以 被 用 来 实现 条 件 同 步 。 

考虑 在 几 个 任务 之 间 共 享 的 有 界 缓冲 区 。 该 缓冲 区 的 规格 说 明 如 下 : 

-~ 一 个 有 界 缓冲 区 


Buffer Size : constant Integer := 10; 

type Index is mod Buffer Size; 

subtype Count is Natural range 0 .. Buffer Size; 
type Buffer is array (Index) of Data Item; 


protected type Bounded Buffer is 
entry Get (Item: out Data Item); 
entry Put (Item: in Data Item); 


private 
First : Index :- Index' First; 
Last : Index :- Index' Last; 
Number In Buffer : Count :- 0; 


Buf : Buffer; 
end Bounded Buffer; 


My Buffer : Bounded Buffer; 


以 上 代码 声明 了 两 个 人 口 ， 它 们 代表 了 缓冲 区 的 公有 接口 。 在 私有 部 分 声明 的 数据 项 是 那些 
必须 互 斥 访问 的 数据 项 。 在 这 种 情况 下 ， 缓 冲 区 是 一 个 数组 ， 经 由 两 个 序 标 访问 ， 缓 冲 区 还 
有 一 个 记录 缓冲 区 内 数据 项 数目 的 计数 器 。 

下 面 给 出 这 个 保护 对 象 的 体 : 


protected body Bounded Buffer is 


entry Get (Item: out Data Item) 
when Number In Buffer /- 0 is 


begin 
Item :- Buf (First); 
First ;= First + 1; -~ 求 模 类 型 运算 ， 卷 简 式 轮转 
Number 1n Buffer := Number In Buffer - 1; 
end Get; i 


entry Put (Item: in Data_Item) 
when Number_In_Buffer /= Buffer_Size is 


begin 
Last := Last +1; -~ 求 模 类 型 运算 ， 卷 简 式 轮转 
Buf (Last) := Item; 


Number In Buffer := Number In Buffer + 1; 
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end Put; 
end Bounded_Buffer; 


Get 人 口 使 用 屏障 “when Number_In_Buffer/=0” 作 为 守备 ， 只 有 当 它 被 测试 为 真 时 任 
务 才 执行 Get 人 口 ; 类 似 地 ， 入 口 Put 也 是 一 样 的 。 屏 障 定义 了 一 个 前 置 条 件 ， 仅 当 该 条 件 测 
试 为 真 时 和 人 口才 可 以 被 接受 。 

虽然 对 保护 对 象 的 调用 可 以 延迟 ， 因 为 该 对 象 处 于 使 用 中 〈 也 就 是 说 ， 不 能 执行 请 求 的 
读 或 读 / 写 访问 操作 ) ， 但 Ada 并 没 把 这 种 调用 看 成 被 挂 起 。 然 而 ， 由 于 人 口 屏 障 为 假 而 延迟 的 
调用 被 认为 是 挂 起 ， 并 放 入 一 个 队列 里 。 这 样 做 的 原因 是 : 

“假设 保护 操作 是 短 时 的 。 

* 一旦 启动 了 保护 操作 ， 就 不 能 挂 起 它 的 执行 一 -所 有 可 能 引起 挂 起 的 操作 都 是 禁止 的 ， 

并 会 引发 异常 一 一 它 只 可 以 重新 排队 〈 见 11.4 节 )。 
因此 ， 当 一 个 任务 试图 访问 保护 对 象 时 ， 不 应 该 把 它 延 迟 太 长 的 时 间 一 一 但 在 与 调度 的 次 序 
有 关 的 情况 下 除外 。 一 旦 过 程 (或 函数 ) 调用 获得 访问 权 ， 它 就 立即 开始 执行 子 程序 ， 而 人 
口 调用 要 对 屏障 求 值 ， 当 然 ， 如 果 屏 障 为 假 那 么 调用 将 被 阻塞 。 在 13.14.1 节 中 ， 将 研究 实时 
系统 附件 所 要 求 的 实现 策略 ， 它 保证 当 一 个 任务 试图 访问 保护 对 象 的 时 候 决 不 会 被 延迟 。 
8.7.1 入 口 调用 和 屏障 


为 了 发 出 一 个 对 保护 对 象 的 调用 ， 任 务 只 需 简单 地 指出 该 对 象 和 所 需 的 子 程序 或 入 口 的 
名 字 。 例 如 为 了 把 一 些 数 据 放 入 上 面 的 有 界 缓冲 区 ， 需 要 调用 任务 : 


. My Buffer.Put (Some Item); 


在 任何 时 刻 ， 保 护 入 口 或 是 打开 的 或 是 关闭 的 。 如 果 测 试 布尔 表达 式 为 真 ， 那 么 它 是 打 
开 的 ， 否 则 是 关闭 的 。 通 常 ， 在 下 列 情况 对 保护 对 象 的 保护 人口 屏障 进行 求 值 : 

(a) 任务 调用 一 个 保护 人 口 ， 并 且 相关 屏障 引用 变量 或 属性 ， 而 自从 屏障 上 次 求 值 后 这 
些 变量 或 属性 可 能 已 经 改变 了 ; 

(b) 任务 离开 保护 过 程 或 保护 人 口 ， 并 且 在 入 口上 还 有 排队 任务 ， 这 些 和 人口 的 屏障 又 引 
用 变量 或 属性 ， 而 自从 屏障 上 次 求 值 后 这 些 变量 或 属性 可 能 已 经 改变 了 。 

保护 函数 调用 不 会 引起 屏障 的 求 值 。 值 得 注意 的 是 ， 在 一 个 保护 入 口 或 过 程 里 面 是 不 可 
能 存在 两 个 活动 任务 的 ， 这 是 因为 只 有 当 任务 离开 对 象 时 屏障 才 会 被 求 值 。 

当 一 个 任务 调用 保护 人口 或 保护 子 程序 时 ， 保 护 对 象 可 能 已 经 被 上 锁 : 如 果 一 个 或 多 个 
任务 正在 该 保护 对 象 里 面 执行 保护 函数 ， 则 称 该 保护 对 象 有 一 个 活动 的 读 锁 ; 如 果 任 务 正在 
执行 一 个 保护 过 程 或 保护 入 口 ， 那 么 称 该 对 象 有 一 个 活动 的 读 / 写 锁 。 

如 果 有 多 个 任务 调用 同一 个 关闭 的 屏障 ， 那 么 这 些 调用 会 排队 ， 默 认 排队 方式 是 先 来 先 
服务 。 但 是 也 可 以 改变 这 种 默认 的 方式 ( 见 13.14.1)。 

下 面 再 给 出 另外 两 个 例子 。 先 考虑 简单 的 资源 控制 器 ， 该 控制 器 在 前 面 已 由 其 他 语言 
出 。 当 只 请 求 (和 释放 ) 单个 资源 时 ， 代 码 是 很 简单 的 : 

protected Resource_Control is 

entry Allocate; 
procedure Deallocate; 


private 


Free : Boolean := True; 
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end Resource Control; 
` protected body Resource Control is 
entry Allocate when Free is 
begin 
Free :- False; 
end Allocate; 
procedure Deallocate is 
begin 
Free :- True; 


end Deallocate; 


end Resource Control; 


该 资源 最 初 是 可 用 的 ， 因 此 Free 标 志 为 真 。 对 ALlocate 的 调用 将 改变 该 标志 ， 因 此 关闭 屏 
障 ， 随 后 所 有 对 Allocate 的 调用 将 被 阻塞 。 当 Deallocate 被 调用 时 ， 屏 障 被 打开 。 这 将 
允许 一 个 等 待 任务 通过 执行 ALLocate 而 继续 执行 。 这 个 执行 的 结果 是 再 次 关闭 屏障 ， 因 此 
入 口 体 不 可 能 进一步 执行 (直到 又 一 次 调用 Deallocate)。 

有 趣 的 是 ， 一 般 的 资源 控制 器 (资源 按 组 被 分 配 和 释放 ) 如 果 只 使 用 守备 是 比较 难 实现 
的 。 其 原因 将 在 第 11 章 解释 ， 那 里 将 详细 讨论 资源 控制 问题 。 

每 个 人 人 口 队 列 都 有 一 个 同 它 关联 的 属性 ， 该 属性 表明 当前 有 多 少 个 任务 在 排队 。 下 面 的 例 
子 中 要 用 到 这 一 点 。 假 设 任务 希望 对 大 量 的 等 待 任 务 广播 (Message 类 型 的 ) 一 个 值 ， 等 待 进 
程 将 调用 Receive 人 口 ， 该 人 口 仅 当 有 新 消息 到 达 时 打开 。 在 那个 时 候 ， 所 有 等 待 任务 被 释放 。 

虽然 所 有 任务 现在 可 以 前 进 ， 但 它们 必须 按 严格 的 次 序 通 过 保护 对 象 (因为 在 对 象 里 只 
能 有 一 个 活动 任务 )。 最 后 出 来 的 对 象 必须 再 次 关闭 屏障 ， 这 样 随后 对 Receive 的 调用 被 阻 
3k. 直到 有 一 个 新 的 消息 被 广播 。 这 种 显 式 地 打开 和 关闭 屏障 的 方法 可 以 和 条 件 变 量 的 用 法 
做 比较 ， 一 旦 所 有 的 进程 退出 ， 条 件 变量 的 方法 将 不 会 有 持续 的 效果 (在 管 程 里 面 )。 广播 例 
子 的 代码 如 下 (注意 属性 count 代 表 在 入 口 排队 的 任务 数 ): 


protected type Broadcast is 

entry Receive (M : out Message); 

procedure Send (M : Message); 
private 

New Message : Message; 

Message Arrived : Boolean :- False; 
end Broadcast; 


protected body Broadcast is 


entry Receive (M : out Message) when Message Arrived is 


begin 
M := New Message; 
if Receive' Count = 0 then 
Message Arrived :- False; 
end if; 


end Receive; 


Procedure Send (M : Message) is 
begin 


if Receive' Count > 0 then 
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Message Arrived := True; 
New Message := M; 
end if; 
end Send; 


end Broadcast; 


因为 可 能 没有 任务 等 待 消息 ， 因 此 send 过 程 必 须 检 查 count 属 性 。 只 有 count 大 于 0 时 才 会 
打开 屏障 (并 记录 新 消息 )。 

最 后 ， 本 节 给 出 在 8.4.5 节 所 给 出 的 信号 量 的 完整 Ada 包 实现 。 这 表明 保护 对 象 不 仅 是 一 个 
优秀 的 结构 抽象 ， 而 且 也 具有 与 信号 量 相 同 的 表达 能 力 。 


package Semaphore Package is 
type Semaphore (Initial : Natural := 1) is limited private; 
procedure Wait (S : in out Semaphore); 
procedure Signal (S : in out Semaphore); 
private 
protected type Semaphore (Initial : Natural :- 1) is 
entry Wait Imp; 
procedure Signal Imp; 
private 
Value ; Natural :- Initial; 
end Semaphore; 


end Semaphore Package; 


package body Semaphore Package is 
protected body Semaphore is 
entry Wait Imp when Value > 0 is 
begin 
Value :- Value - 1; 
end Wait Imp; 


procedure Signal Imp is 
begin 
Value :- Value + 1; 
end Signal Imp; 
end Semaphore; 


procedure Wait (S : in out Semaphore) is 


begin 
S.Wait Imp; 
end Wait; 
procedure Signal (S : in out Semaphore) is 
begin 


S.Signal Imp; 
end Signal; 
end Semaphore Package; 


8.7.2 保护 对 象 和 标记 类 型 
很 明显 Ada 并 没有 完全 整合 并 发 和 面向 对 象 编程 的 模型 。 例 如 ， 任务 和 保护 对 象 都 是 不 可 
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扩展 的 。 详 细 讨 论 如 何 最 好 地 利用 Ada 的 特性 来 获得 尽 可 能 多 的 整合 已 超出 本 书 的 范围 一 一 见 
文献 [Burns and Wellings (1998) ]。 此 外 ， 关 于 为 Ada 加 入 扩展 保护 类 型 的 全 面 讨 论 ， 见 文献 
{Wellings (2000) ]。 


8.8 同步 方法 


在 许多 方面 ，Ada 的 保护 对 象 很 像 基于 类 的 面向 对 象 编程 语言 里 的 对 象 。 当 然 ， 主 要 的 不 
同 是 Ada 的 保护 对 象 不 支持 继承 关系 。Java 是 一 种 完全 整合 了 并 发 和 面向 对 象 模型 的 语言 ， 它 
提供 了 一 种 在 类 和 对 象 的 上 下 文中 实现 管 程 的 机 制 。 

在 Java 中 ， 每 个 对 象 都 有 一 个 相关 联 的 锁 。 这 个 锁 不 能 被 应 用 程序 直接 访问 ， 但 是 

。 方 法 修饰 符 synchronized 和 

。 块 同步 
对 它 起 作用 。 当 一 个 方法 带 有 synchronized 方 法 修饰 符 的 时 候 ， 获 得 同 这 个 对 象 相关 联 的 锁 
之 后 才能 执行 访问 该 方法 。 因 此 ， 同 步 方法 对 封装 在 对 象 中 的 数据 进行 互 斥 访问 ， 如 果 那 个 数 
据 只 由 其 他 同步 方法 访问 的 话 。 非 同步 方法 不 需要 锁 ， 因 此 可 以 在 任何 时 刻 调用 。 因 此 为 了 获 
得 完全 的 互 斥 ， 每 个 方法 都 要 标记 为 seynchronized。 下 面 的 类 表示 了 -个 简单 的 共享 整数 : 

class SharedInteger 


{ 


private int theData; 


public SharedInteger (int initialValue) 
{ 
theData = initialvalue; 


} 


public synchronized int read O 
1 
return theData; 


E 


public synchronized void write (int newValue) 


1 
theData - newValue; 
}; 
public synchronized void incrementBy (int by) 
{ 
theData = theData + by; 
E 


} 
SharedInteger myData = new SharedInteger (42); 


块 同步 提供 一 种 同步 机 制 ， 借 以 将 块 标记 为 同步 的 。 synchronized 这 个 关键 字 把 一 个 对 象 
作为 参数 ， 在 块 继续 执行 之 前 必须 获得 该 对 象 的 锁 。 因 此 同步 方法 可 以 有 效 地 实现 如 下 : 
public int read () 
{ 
Synchronized (this) { 
return theData; 
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} 

} 
这 里 this 是 Java 获 得 当前 对 象 的 机 制 。 

按照 它 的 最 一 般 性 的 使 用 ， 同 步 块 破坏 了 管 程 这 类 机 制 的 一 个 优点 : 通过 对 同步 约束 的 
封装 ， 把 对 象 同 程序 中 的 一 个 位 置 关 联 起 来 。 这 是 因为 如 果 当 其 他 对 象 在 同步 语句 指名 了 一 
个 特定 对 象 时 ， 只 考察 这 个 对 象 本 身 是 不 可 能 理解 与 这 个 对 象 相关 联 的 同步 问题 的 。 但 是 ， 
如 果 小 心 使 用 的 话 ， 这 种 设施 扩大 了 基本 的 模型 ， 使 编程 能 实现 更 有 表达 能 力 的 同步 约束 ， 
下 面 将 很 快 说 明 这 一 点 。 

虽然 同步 方法 或 同步 块 可 以 互 斥 地 访问 在 一 个 对 象 里 的 数据 ， 但 如 果 数 据 是 静态 的 ， 那 
么 这 种 访问 就 不 合适 了 。 和 静态 数据 在 所 有 从 这 个 类 创建 的 对 象 之 间 共 享 ， 为 了 保证 对 这 种 数 
据 的 互 斥 访问 ， 就 要 求 所 有 对 象 被 上 锁 。 

在 Java 中 类 本 身 也 是 对 象 ， 因 此 类 也 有 一 个 相关 的 锁 。 通 过 用 synchronized 修 饰 符 标 
记 静 态 方法 或 者 标识 这 个 类 在 同步 块 语句 中 的 对 象 ， 可 以 访问 这 个 锁 。 后 者 可 以 从 与 对 象 相 
关联 的 Object 类 得 到 。 然 而 要 注意 ,， 当 在 对 象 上 同步 时 ， 是 不 可 能 获得 类 范围 的 锁 的 。 因 此 ， 
为 了 获得 在 静态 变量 上 的 互 扩 访问， 需要 下 面 的 类 (例如 ): 

class StaticSharedvariable 


{ 


private static int shared; 


public synchronized int Read () 

{ 
synchronized (this.getClass () ) 
{ 


return shared; 
E 
} 


public synchronized static void Write (int I) 
{ 


shared = I; 
}; 
} 


8.8.1 等 待 和 通知 
为 了 得 到 条 件 同步 ， 需 要 更 进一步 的 支持 。 这 些 支 持 来 自 预 定义 对 象 类 提供 的 方法 : 


public void wait (); 


// Pat 11legalMonitorStateException 
public void notify (); 


// PatiIllegalMonitorStateException 
public void notifyAll (); 
// WiliillegalMonitorStateException 
这 些 方法 被 设计 成 只 在 拥有 对 象 锁 的 方法 内 调用 ( 即 它们 是 同步 的 )。 如 果 在 没有 锁 的 方法 里 
调用 ， 就 抛 出 异常 TllegalMonitorstateException。 
方法 wait 总 是 阻塞 调用 线程 并 释放 对 象 的 锁 。 如 果 调 用 来 自 于 贝 套 管 程 里 面 ， 那 么 ， 只 
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有 内 部 锁 是 与 wait 相 关联 的 ， 并 释放 这 个 内 部 锁 。 
方法 notify 唤 醒 一 个 等 待 线 程 ， 被 唤醒 的 线程 没有 被 Java 语 言 定 义 〈 但 是 被 实时 Java 定 
义 了 ,参看 13.14.3 节 )。 注 意 notify 并 不 释放 锁 ， 因 此 在 被 唤醒 的 线程 可 以 继续 执行 之 前 它 
必须 等 待 ， 直 到 获得 锁 。 为 了 唤醒 所 有 等 待 线 程 可 以 使 用 notifyRAl11 方 法 ， 同 样 它 也 不 释放 
锁 ， 所 有 被 唤醒 线程 必须 等 待 ， 当 锁 释放 时 还 必须 相互 竞争 这 个 锁 。 如 果 没 有 等 待 线 程 ， 那 
么 notify 和 notifyAl1 没 有 任何 效果 。 
一 个 正在 等 待 的 线程 也 可 以 被 唤醒 ， 如 果 它 被 另 一 个 线程 中 断 的 话 。 在 这 种 情况 下 会 抛 
出 异常 InterruptedException。 本章 忽 略 这 种 情况 (这 个 异常 被 允许 传播 ) ， 但 在 10.9 节 
会 详细 讨论 这 个 问题 。 
虽然 Java 看 起 来 也 提供 了 与 其 他 语言 一 样 支持 管 程 的 等 价 设施 ， 但 却 有 一 个 显著 的 不 同 。 
这 里 没有 显 式 的 条 件 变量 。 因 此 当 一 个 线程 被 唤醒 时 ， 不 必 假设 其 “条 件 ” 为 真 ， 因 为 不 管 是 
在 等 待 什么 条 件 ， 所 有 线程 都 有 可 能 被 唤醒 。 对 许多 算法 来 说 这 种 限制 不 是 一 个 问题 ， 因 为 任 
务 等 待 的 条 件 是 互 斥 的 。 例 如 ， 传 统 意义 下 的 有 界 缓冲 区 有 两 个 条 件 变 量 : WaitBuffer 
NotFull 和 WaitBufferNotEmpty。 然 而 ， 如 果 一 个 线程 等 待 一 个 条 件 ， 肯 定 不 会 同时 存 
在 其 他 线程 等 待 其 他 条 件 的 情况 。 因 此 ， 线 程 能 够 假设 : 当 它 被 唤醒 的 时 候 ， 缓 冲 区 正 处 于 合 
public class BoundedBuffer 
private int buffer[]; 
private int first; 
private int last; 


private int numberInBuffer - 0; 
private int size; 


public BoundedBuffer (int length) 
{ 

size = length; 

buffer = new int [size]; 

last = 0; 

first = 0; 


} 


public synchronized void put (int item) throws InterruptedException 
.d 
while (numberInBuffer -- size) ( 
wait (); ! 
E 
last = (last + 1) $ size; // % 是 求 模 运 算 
numberInBuffer++; 
buffer[last] = item; 
notify (); 
yi 
public synchronized int get () throws InterruptedException 
1 
while (numberInBuffer -- 0) ( 
wait (); 
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E 
first = (first + 1) % size; // $ 是 求 模 运算 
numberInBuffer--; 
notify (); 
return buffer{first]; 
}; 
} 
当然 ， 如 果 notifyA1l1 被 用 来 唤醒 线程 ， 那 么 这 些 线程 总 是 在 进行 前 重新 测试 其 条 件 。 
一 个 标准 的 并 发 控制 问题 是 读者 一 写 者 (readers-writers ) 问题 。 在 这 种 情况 下 许多 读者 
和 和 写 者 都 试图 访问 大 数据 结构 。 读 者 可 以 并 发 地 读 ， 因 为 它们 不 会 修改 数据 ; 然而 写 者 需要 
同 其 他 读者 和 和 写 者 在 数据 上 互 斥 。 这 种 方案 也 存在 许多 不 同 的 变种 ， 这 里 考虑 的 是 对 等 待 的 
写 者 赋予 优先 权 。 因 此 只 要 存在 写 者 ， 所 有 新 的 读者 将 被 阻塞 直到 所 有 的 写 者 完成 。 当 然 ， 
在 极端 的 情况 下 ， 这 有 可 能 导致 读者 馈 死 。 
如 果 使 用 标准 的 管 程 、 解 决 读者 - 写 者 问题 要 求 四 个 管 程 过 程 : startRead, stopRead, 
startWrite，stopWrite。 读 者 的 结构 是 : 
startRead (); 
// 读数 据 结构 
stopRead ()} 
类 似 地 ， 写 者 的 结构 是 : 
startWrite (); 
// 写 数据 结构 
stopWrite (); 
管 程 里 面 的 代码 提供 了 必要 的 同步 ， 它 使 用 了 两 个 条 件 变量 : OkToRead 和 OkToWrite。 在 
Java 中 ， 这 不 能 在 单个 管 程 里 直接 表达 。 下 面 研究 解决 这 个 问题 的 两 种 方法 : 
第 一 种 方法 是 使 用 一 个 类 : 
public class ReadersWriters 


{ 


private int readers = 0; 
private int waitingWriters = 0; 
private boolean writing = false; 


public synchronized void startWrite () throws InterruptedException 
{ 
while (readers > 0 {| writing) 
{ 
waitingWriters-*; 
wait (); 
waitingWriters--; 


) 
writing - true; 


) 


public synchronized void stopWrite () 
{ 

writing = false; 

notifyAll (); 
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} 
public synchronized void startRead () throws InterruptedException 
{ 
while (writing || waitingWriters > 0) wait (); 
readerst++; 
} 
public synchronized void stopRead () 
{ 
readers--; 
if (readers == 0) notifyAll (); 
} 


) 
在 这 个 解决 方案 里 ， 一 个 线程 在 等 待 请 求 后 醒 来 时 ， 必 须 重新 测试 它 可 以 前 进 的 条 件 。 虽 然 
这 个 方法 允许 多 个 读者 或 单个 写 者 ， 但 是 可 以 证 明 它 是 效率 低下 的 ， 因 为 在 每 次 数据 变 得 可 
用 时 它 要 唤醒 所 有 的 线程 。 而 在 这 些 被 唤醒 的 线程 中 ， 有 许多 线程 当 它们 最 终 获得 访问 管 程 
的 权利 时 ， 会 发 现 它们 仍然 不 能 继续 ， 因 此 不 得 不 再 次 等 待 。 

另 一 个 由 Lea (1997) 提出 的 替代 方案 是 使 用 另 一 个 类 来 实现 条 件 变 量 。 即 : 


public class ConditionVariable { 
public boolean wantToSleep = false; 


} 


一 般 的 方法 是 在 另 一 个 类 里 面 创建 这 些 条 件 变量 的 实例 ， 然后 使 用 块 同 步 。 为 了 避免 在 
PRES EBS FA AE FS, 标志 变量 wantToSleep 被 用 来 指示 管 程 是 否 想 在 条 件 变量 上 等 待 。 
public class ReadersWriters 


{ 


private int readers = 0; 


private int waitingReaders 0; 
private int waitingWriters = 0; 


private boolean writing - false; 


ConditionVariable OkToRead - new ConditionVariable (); 
ConditionVariable OkToWrite - new ConditionVariable 0: 


public void startWrite () throws InterruptedException 


{ 
synchronized (OkToWrite) // 取得 条 件 变量 的 锁 
{ 
synchronized (this) // 取得 管 程 锁 
{ 


if (writing | readers > 0) { 
waitingWriters**; 
OkToWrite.wantToSleep - true; 

) else ( 
writing - true; 
OkToWrite.wantToSleep 

) 

) // 放弃 管 程 锁 


if (OkToWrite.wantToSleep) OkToWrite.wait (); 


false; 
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} 
} 
public void stopWrite () 
{ 
synchronized (OkToRead) 
{ 
synchronized (OkToWrite) 
{ 
synchronized (this) 
{ 
if (waitingWriters > 0) { 
waitingWriters--; 
OkToWrite.notify (); 
) else ( 
writing - false; 
OkToRead.notifyAll (); 
readers - waitingReaders; 
waitingReaders - 0; 
} 
} 
} 
} 
} 
public void startRead () throws InterruptedException 
{ 


synchronized (OkToRead) { 
synchronized (this) 


{ 
if (writing | waitingWriters > 0) ( 
waitingReaders-t*t; 
OkToRead.wantToSleep - true; 
) else ( 
readers*t*; 
OkToRead.wantToSleep - false; 
) 
) 
if (OkToRead.wantToSleep) OkToRead.wait O0; 
} 
} 
public void stopRead () 
{ 
synchronized (OkToWrite) 
{ 
synchronized (this) 
{ 
readers--; 
if (readers -- 0 & waitingWriters » 0) ( 
waitingWriters--; 


writing = true; 


N 
QN 
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OkToWrite.notify (); 


267 } 
每 个 条 件 变量 是 用 在 这 个 类 声明 的 ConditionVariable 类 的 一 个 实例 表示 的 ， 这 个 类 的 行 .， 
为 同 管 程 一 样 。 条 件 在 拥有 管 程 锁 和 条 件 变 量 锁 ( 它 将 在 管 程 过 程 里 面 得 到 通知 或 等 待 ) 的 
时 候 求 值 。 为 了 确保 设 有 死 锁 发 生 ， 这 些 锁 总 是 按 同样 的 顺序 获得 。 
8.8.2 继承 和 同步 


面向 对 象 模式 和 并 行 编程 机 制 的 结合 引起 所 谓 继承 反常 (inheritance anomaly) 问题 
(Matsuoka and Yonezawa，1993 )。 如 果 一 个 类 的 操作 之 间 的 同步 不 是 局 部 的 ， 却 依赖 于 这 个 
类 的 操作 的 整个 集合 ， 那 么 将 发 生 继承 反常 。 当 一 个 子 类 加 入 新 操作 时 ， 为 了 应 对 这 些 新 操 
作 ， 必 须 改 变 定 义 在 父 类 中 的 同步 (Matsuoka and Yonezawa, 1993), 

例如 ， 考 虑 本 节 前 面 所 提 到 的 有 界 缓冲 区 。 在 Java 中 ， 测 试 条 件 (BufferNotFull 和 
BufferNotEmpty) 的 代码 被 嵌入 到 方法 里 面 。 正 如 在 第 11 章 所 示 的 ， 一 般 情 况 下 这 种 方法 
有 许多 优点 ， 因 为 它 允 许 方法 访问 方法 的 参数 以 及 对 象 属性 。 然 而 ， 当 考虑 继承 的 时 候 ， 它 
的 确 了 引起 一 些 问题 。 假 设 有 界 缓冲 区 被 子 类 化 ， 因 而 所 有 的 访问 都 被 禁止 。 加 入 两 个 新 方 
法 prohibitaccess 和 allowaccess。 一 个 不 太 成 熟 的 扩展 版 本 可 能 包括 下 面 的 代码 ; 

public class AccessError extends Exception(); 

public class ControlledBoundedBuffer extends BoundedBuffer 


t 
// 不 正确 代码 


boolean prohibited; 


ControlledBoundedBuffer (int length) 
{ 
super (length); 
prohibited = false; 
}; 
public synchronized void prohibitAccess () throws InterruptedException 
{ 
if (prohibited) wait (); 
prohibited = true; 
} 


public synchronized void allowAccess () throws AccessError 
{ 
if (!prohibited) throw new AccessError O; 
prohibited = false; 
notify (); 
) 
268 ) 


这 个 扩展 的 主要 问题 是 它 没 考虑 超 类 也 会 发 出 wait 和 notify 请 求 这 样 的 事实 。 因此 ， 作 为 
在 allowAccess 方 法 里 通知 请 求 的 结果 ， get 和 put 方 法 可 能 醒 来 。 
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问题 是 超 类 方法 里 的 代码 必须 改变 ， 以 反映 新 的 同步 条 件 。 这 是 继承 反常 的 核心 所 在 。 
理想 情况 下 ，get 和 put 的 代码 应 该 是 完全 可 重用 的 。 当 然 ， 假 如 已 经 知道 有 界 缓冲 区 被 编写 
的 时 候 也 将 产生 一 个 控制 版 本 ， 那 么 可 能 已 经 选择 一 个 不 同 的 设计 以 便 充 分 利用 这 种 扩展 。 
但 是 ， 无 法 预期 所 有 的 扩展 。 
可 以 采取 的 一 个 方法 是 总 是 将 条 件 测 试 封装 在 while 循 环 里 ， 不 管 这 种 封装 看 起 来 是 否 
必要 ， 并 且 总 是 使 用 notify&Al1。 因 此 ， 如 果 缓 冲 区 代码 如 下 : 
public class BoundedBuffer 
private int buffer[]; 
private int first; 
private int last; 


private int numberInBuffer = 0; 
private int size; 


public BoundedBuffer (int length) 
1 

size = length; 

buffer - new int [size]; 

last = size - 1; 

first - size - 1; 


ye 


public synchronized void put (int item) throws InterruptedException 
{ 

while (numberInBuffer == size) { 

wait (); 
QH 

last - (last *1) $ size; 

numberInBuffer++; 

buffer(lastj = item; 

notifyAll (); 


hi 
public synchronized int get () throws InterruptedException 
{ 
while (numberInBuffer == 0) { 
wait (); 
}; 
first = (first + 1) $ size; 
numberInBuffer--; 
notifyAll (); 
return buffer[first]; 
}; 
} 
那么 其 子 类 可 以 写成 : 
public class LockableBoundedBuffer extends BoundedBuffer 
{ 


boolean prohibited; 


// 不 正确 代码 
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LockableBoundedBuffer (int length) 
{ 
super (length); 
prohibited = false; 
}; 
public synchronized void prohibitAccess () throws InterruptedException 
{ 
while (prohibited) wait (); 
prohibited = true; 
} 
public synchronized void allowAccess () throws AccessError 
{ 
if (!prohibited) throw new AccessError 0: 
prohibited = false; 
notifyAll (); 
) 


public synchronized void put (int item) throws InterruptedException 
{ 

while (prohibited) wait (); 

super.put (item); 


} 


public synchronized int get () throws InterruptedException 
while (prohibited) wait (); 
return (super.get () ); 
} 
} . 
令 人 遗憾 的 是 这 种 方法 有 一 个 小 bug。 考虑 如 下 的 情况 : 生产 者 试图 把 数据 放 入 一 个 满 缓冲 区 内 。 
因为 并 不 禁止 对 缓冲 区 的 访问 ， 所 以 调用 super .put (item)， 这 个 调用 被 阻塞 ， 等 竺 
BufferNotEmpty 状 态 。 现 在 禁止 对 缓冲 区 的 访问 。 对 put 和 get 的 任何 另外 的 调用 被 困 在 已 
覆盖 的 子 类 方法 里 面 ， 对 prohibitAccess 方 法 的 调用 也 是 这 样 。 现 在 发 出 对 allowAccess 
方法 的 调用 ， 这 使 得 所 有 等 待 线程 被 释放 。 假 设 被 释放 线程 获得 管 程 锁 的 次 序 是 ， 消 费 者 线程、 
试图 禁止 对 缓冲 区 访问 的 线程 、 生 产 者 线程 。 消 费 者 线程 发 现 并 没有 禁止 对 缓冲 区 的 访问 ， 就 
从 缓冲 区 取 数 据 。 它 发 出 一 个 hotifyA11 请 求 ， 但 现在 没有 任何 线程 在 等 待 。 运 行 的 下 一 个 线 
程 现 在 禁止 对 缓冲 区 的 访问 。 接 下 来 就 是 运行 生产 者 线程 。 并 放 数据 项 到 缓冲 区 里 ， 虽 然 是 禁 
止 访问 的 ! 
虽然 这 个 例子 好 像 有 故意 刁难 的 嫌疑 ， 但 它 的 确 说 明了 由 于 继承 异常 而 可 能 发 生 的 bug。 


小 结 


进程 交互 要 求 操作 系统 和 并 发 程序 语言 支持 同步 和 进程 间 通信 。 通信 可 以 基于 共享 变量 
或 消息 传递 。 本 章 探讨 了 共享 变量 、 它们 表现 出 来 的 多 重 更 新 难题 以 及 为 解决 这 些 困难 所 需 
的 互 斥 同步 。 本 章 介绍 了 以 下 的 术语 : : 

* 临界 段 一 一 必须 在 互 斥 条 件 下 执行 的 代码 
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* 忙 等 待 一 一 一 个 进程 不 断 地 检查 一 个 条 件 看 它 现在 是 否 可 以 执行 

*。 活 锁 一 一 一 种 出 错 状态 ， 在 这 种 状态 下 一 个 或 多 个 进程 被 阻止 前 进 ， 直 到 处 理 周 期 耗 尽 

使 用 一 些 例 子 来 证 明 只 使 用 共享 变量 进行 互 斥 编程 是 十 分 困难 的 。 为 了 简化 这 些 算法 和 
消除 忙 等 待 引 入 了 信号 量 。 信 号 量 是 只 能 受 wait 和 signal 过 程 作用 的 一 个 非 负 整数 。 这 些 
过 程 的 执行 具有 原子 性 。 . 

提供 信号 量 原 语 的 一 个 后 果 是 给 进程 引入 了 一 个 新 的 状态 ， 即 挂 起 。 它 也 引入 了 两 个 新 
的 出 错 状态 : 

* 死 锁 一 一 一 个 不 能 前 进 的 挂 起 进程 的 集合 

* 无 限期 推迟 一 一 一 个 进程 由 于 获取 不 到 可 用 的 资源 而 不 能 执行 (也 称 为 停工 或 饿 死 ) 

言 号 量 由 于 太 低 级 和 在 使 用 中 易 出 错 而 倍 受 批评 。 在 它们 之 后 ， 引 入 了 四 个 更 加 结构 化 
的 原 语 : 

* 条件 临 界 区 

。 管 程 

。 保 护 对 象 

。 同 步 方法 

管 程 是 一 个 重要 的 语言 特性 ， 在 Modula-1、 并 发 Pascal 和 Mesa 中 得 到 使 用 。 它 们 由 模块 
和 入 口 组 成 ，( 由 定义 ) 确保 人口 是 互 斥 的 。 在 管 程 体内 ， 如 果 条 件 不 适合 一 个 进程 继续 执行 
那么 它 将 挂 起 自己 。 这 种 挂 起 通过 使 用 条 件 变量 实现 。 当 一 个 挂 起 进程 被 唤醒 (通过 在 条 件 
变量 上 执行 signal 操 作 ) 的 时 候 ， 必 须 保 证 这 不 会 导致 模块 内 同时 有 两 个 进程 是 活动 的 。 为 
了 确保 这 种 情况 不 会 发 生 ， 语 言 必 须 按照 如 下 的 约定 : 

1) signal 操 作 仅 作为 管 程 内 的 进程 的 最 后 动作 执行 。 

2) signal 操 作 有 强迫 进行 signal 操 作 的 进程 退出 管 程 的 副作用 。 

3) 如 果 进 行 signal 操 作 的 进程 导致 管 程 内 的 另 一 个 进程 变 成 活动 的 ， 那 么 它 本 身 要 被 挂 起 . 

4) 发 出 signal1 操 作 的 进程 没有 挂 起 ， 并 且 一 旦 该 进程 退出 ， 空 闲 的 进程 必须 竞争 对 管 
程 的 访问 。 

管 程 的 一 种 形式 可 以 使 用 过 程式 接口 来 实现 。POSIX 的 互 斥 锁 和 条 件 变量 提供 这 种 设施 

虽然 管 程 给 互 斥 提供 了 一 种 高 级 结构 ， 但 其 他 同步 却 必须 使 用 低级 条 件 变 量 编程 实现 
这 造成 了 在 语言 设计 中 令 人 遗憾 的 原 语 混合 。Ada 的 保护 对 象 具有 管 程 的 结构 化 优点 和 条 件 临 
界 区 的 高 级 同步 机 制 。 

整合 并 发 性 和 OOP 是 充满 困难 的 。Ada 试 图 为 00P 和 保护 类 型 提供 分 别 的 设施 而 避免 这 个 
问题 。 然 而 ，Java 通 过 为 类 提供 同步 化 成 员 方 法 解决 了 这 个 问题 。 通 过 使 用 这 种 设施 (以 及 
同步 语句 和 wait、notify 两 个 原 语 ) 提供 一 种 灵活 的 基于 面向 对 象 的 类 管 程 设施 。 令 人 遗憾 的 
是 使 用 这 种 方法 也 引起 了 继承 反常 问题 。 

下 一 章 我 们 将 讨论 基于 消息 的 同步 和 通信 的 原 语 。 使 用 这 些 设施 的 语言 实际 上 根据 它 自 
己 的 权限 把 管 程 提升 为 一 个 活动 的 进程 。 因 为 一 个 进程 在 一 个 时 间 只 能 做 一 件 事情 ， 这 样 
不 就 得 到 保证 。 进 程 不 再 通过 共享 变量 通信 而 是 直接 进行 通信 。 因 此 构造 一 种 将 通信 和 同步 
组 合 起 来 的 单个 高 级 原 语 是 可 能 的 。 这 种 概念 首先 由 Conway (1963) 提出 ， 随 后 在 高 级 实时 
编程 语言 中 得 到 利用 。 它 形成 了 Ada 和 occam2 中 的 会 合 机 制 的 基础 。 
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练习 


8.1 说 明 如 何 修改 8.2 节 中 的 Peterson 算 法 以 使 在 忙 等 待 时 允许 高 优先 级 的 进程 比 低 优先 级 的 进 
程 具有 优先 使 用 权 。 

8.2 考虑 在 单个 生产 者 和 单个 消费 者 之 间 共享 的 一 个 数据 项 。 生 产 者 是 一 个 周期 性 任务 : 读 传 
感 器 并 将 值 写 人 该 共享 数据 项 。 消 费 者 是 一 个 偶发 任务 : 取出 在 共享 数据 项 里 由 生产 者 放 
入 的 最 新 的 值 。 

下 面 的 包 声 称 提供 了 一 个 生产 者 和 消费 者 可 以 安全 通信 的 类 属 算法 ， 该 算法 不 需要 互 
斥 或 忙 等 待 。 
generic 
type Data is private; 
Initialvalue : Data; 
Package Simpsonsalgorithm is 
procedure Write (Item: Data); -- 不 阻塞 


procedure Read (Item : out Data); -- 不 阻塞 
end Simpsonsalgorithm; 


package body Simpsonsalgorithm is 
type Slot is (First, Second); 


Fourslot : array (Slot, Slot) of Data ;- 
(First => (Initialvalue, Initialvalue) , 
Second => (Initialvalue, Initialvalue) n 
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Nextslot : array (Slot) of Slot :- (First, First); 
Latest : Slot :- First; 
Reading : Slot := First; 


procedure Write (Item : Data) is 
Pair, Index : Slot; 


begin 
if Reading - First then 
Pair :- Second; 
else 
Pair :- First; 
end if; 
if Latest - First then 
Index := Second; 
else 
Index :- First; 
end if; 
Fourslot (Pair, Index) :- Item; 
Nextslot (Pair) :- Index; 
Latest :- Pair; 
end Write; 


procedure Read (Item : out Data) is 
Pair, Index : Slot; 


begin 

Pair :- Latest; 

Reading := Pair; 

Index :- Nextslot (Pair); 

Item :- Fourslot (Pair, Index); 
end Read; 


end Simpsonsalgorithm; 
通过 解释 下 列 情况 发 生 时 将 会 发 生 什么 ， 仔 细 描 述 该 算法 是 如 何 工 作 的 : 
(1) Write 后 面 跟着 Read 
(2) Read 被 Write 抢占 
(3) Write 被 Read 抢 占 
(4) 一 个 Read 被 多 个 Write 抢 占 
(5) 一 个 Write 被 多 个 Read 抢 占 
解释 算法 如 何在 数据 更 新 和 安全 通信 之 间 进行 权衡 。 
许多 编译 器 优化 代码 ， 使 经 常 被 访问 的 变量 被 保持 在 任务 的 局 部 寄存 器 中 。 解释 在 这 
种 背景 下 上 述 算法 声称 能 进行 安全 通信 是 否 站 得 住 的 。 为 了 使 它 能 够 适合 所 有 Ada95 的 实 
现 ， 是 否 需 要 对 该 算法 做 一 些 改 变 ? l 
8.3 考虑 一 个 既 可 以 读 也 可 写 的 共享 数据 结构 。 说 明 如 何 使 用 信号 量 来 实现 多 个 并 发 读 操作 或 
单个 写 操作 ， 但 不 能 同时 读 写 。 
8.4 说 明 如 何 使 用 信号 量 来 实现 Hoare 的 条 件 临界 区 。 
8.5 说 明 如 何 使 用 信号 量 来 实现 Hoare (Mesa 或 Modular-1 ) 的 管 程 。 
8.6 吕 明 如 何 使 用 单个 Modula-1 接 口 模块 来 实现 二 元 信号 量 。 为 了 处 理 一 般 的 信号 量 ， 该 方案 
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应 该 如 何 修改 ? 
8.7 考虑 从 磁盘 传输 数据 的 请 求 队列 的 调度 。 为 了 最 小 化 磁头 的 移动 ， 所 有 对 一 个 特定 柱 面 的 
请 求 都 将 在 同一 次 内 完成 。 调 度 程 序 对 每 个 柱 面 依 次 扫描 服务 请 求 。 写 一 个 提供 必要 同步 
的 Modula-1 接 口 模块 。 假 设 这 里 有 两 个 接口 过 程 : 一 个 是 对 一 个 特定 柱 面 的 访问 请 求 ， 另 
一 个 是 释放 该 柱 面 。 用 户 按 下 面 的 磁盘 驱动 模块 处 理 调用 过 程 : 
module disk driver; 
define read, write; 
procedure read (var data:data_t; addr:disk_address) 
begin 
(* 求 柱 面 地 址 *) 
diskheadscheduler.request (cylinder); 
(* 读数 据 * ) 
diskheadscheduler.release (cylinder); 
end read; 
(* 对 write 类 似 *) 
end disk driver; 

8.8 写 一 个 对 数据 库 里 的 文件 进行 读 写 访问 控制 的 Modula-1 接 口 模块 .为 了 维护 文件 的 完整 性 ， 
一 次 只 允许 一 个 进程 更 新 文件 ; 然而 ， 只 要 不 是 处 于 更 新 过 程 中 ， 可 以 有 任意 多 个 进程 读 
文件 。 而且， 文件 的 更 新 请 求 只 在 没有 读 操 作 时 才 被 允许 。 然 而 ， 一 旦 更 新 文件 的 请 求 被 

接受 ， 那 么 后 续 的 所 有 读 文 件 请 求 将 被 阻塞 直到 不 再 有 更 新 操作 。 
接口 模块 应 该 定义 四 个 过 程 : startread, endread. startwritefflendwrite, 
假设 接口 模块 应 该 按 如 下 的 方式 使 用 。 


module file_access; 





define readfile, writefile; 
use startread, endread, startwrite, endwrite; 


procedure readfile; 
begin 
startread; 
read the file 
endread; 
end readfile; 


procedure writefile; 
begin 
startwrite; 
write the file 
endwrite; 
end writefile; 
end file_access. 


8.9 一 个 计算 机 系统 被 用 来 控制 通过 单行 道 公路 隧道 的 交通 流 。 为 了 安全 起 见 ， 在 同一 时 间 在 
该 隧道 里 的 车 不 能 超过 N 辆 。 在 人 口 处 的 交通 灯 控 制 车 辆 的 进入 ， 入 口 和 出 口 处 的 车 辆 探 

测 器 被 用 来 测量 车 流 。 
请 规划 Modula-1 的 两 个 PROCESS 和 其 间 控制 交通 流量 的 一 个 INTERFACE MODULE 
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结构 。 第 一 个 进程 监控 出 口 处 的 车 辆 探测 器 ， 第 二 个 监控 入 口 处 的 探测 器 。INTERFACE 
模块 控制 交通 灯 本 身 。 你 可 以 假设 在 作用 域 中 已 经 写 有 下 面 的 函数 : 
* procedure CARS EXITED: NATURAL; 
begin . 
C 返回 上 次 该 函数 调用 以 来 离开 隧道 的 车 辆 数 *) 
end CARS EXITED; 
procedure CARS ENTERED : NATURAL; 
begin * 
(* 返回 上 次 该 函数 调用 以 来 进入 隧道 的 车 辆 数 *) 
end CARS_ENTERED; 
procedure SET LIGHTS ( COL : COLOUR); 
begin 
(* ERIT COL *) 
(* COLOUR 是 定义 域 中 的 一 个 枚 举 类 型 ， 其 定义 是 : +) 
(* type COLOUR = (RED, GREEN); *} 
end SET LIGHTS; 


procedure DELAY 10 SECONDS; 
begin 
T e SREE 10 Bh *) 
end DELAY 10 SECONDS; 
你 的 解决 方案 应 该 每 10 秒 读 一 次 传感器 (经 由 CASE_EXITED 和 CARS ENTERED 

数 ) 直到 隧道 满 或 空 。 当 隧道 满 (这 时 灯 被 设置 为 红色 ) 时 ， 入 口 监控 任务 不 应 该 继续 调 
用 CARS_ENTERED 函 数 。 类 似 的 ， 当 隧道 空 时 ， 出 口 监控 任务 不 应 该 继续 调用 
CARS_EXITED 朱 数 。 此 外 ， 任 务 不 应 该 忙 等 待 。 你 不 应 该 对 Modula-1 的 运行 时 任务 调度 
程序 做 任何 假设 。 

8.10 对 管 程 的 一 个 非 难 是 条 件 同 步 太 低级 和 非 结构 化 。 解 释 这 句 话 是 什么 含义 。 更 高 级 的 管 
程 同 步 原 语 可 能 采取 下 面 的 形式 
Waituntil 布尔 表达 式 ; 
其 中 进程 被 延迟 直到 布尔 表达 式 的 值 变 为 真 。 例 如 
WaitUntil x « y + 5; 
将 延迟 进程 直到 x < y + 5. 

虽然 条 件 同 步 的 这 种 形式 更 加 结构 化 ， 但 在 大 多 数 支持 管 程 的 语言 里 却 没有 找到 它 。 

请 解释 为 什么 会 出 现 这 种 情况 。 在 哪些 情况 下 对 以 上 高 级 同步 设施 的 反对 将 是 无 效 的 ? 
说 明 在 管 程 内 如 何 使 用 WaitUntil 同 步 原 语 解决 有 界 缓冲 区 问题 

8.11 考虑 一 个 系统 ， 其 中 有 三 个 抽烟 人 进程 和 一 个 代理 进程 。 每 个 抽烟 人 连续 地 卷烟 并 抽烟 。 
卷 一 支 烟 需 要 三 种 材料 ， 即 烟草 、 烟 和 火柴 。 这 些 进程 中 的 一 个 有 烟草 ， 另 一 个 有 烟 ， 
第 三 个 有 火柴 。 代 理 进程 保证 无 限 地 提供 所 有 这 三 种 材料 。 代 理 随机 选择 地 在 桌 上 放 两 
种 材料 。 拥 有 第 三 种 材料 的 抽烟 人 可 以 卷烟 并 抽烟 。 一 旦 抽烟 人 抽 完 了 烟 ， 他 就 通知 代 
理 , 这样 代 理 将 再 次 在 桌 上 放 两 种 材料 。 该 过 程 就 这 样 循环 下 去 。 
请 规划 一 个 同步 三 个 抽烟 人 和 代理 的 管 程 结 构 。 

8.12 对 比 UNIX 内 核 (Bach，1986) 为 互 斥 和 条 件 同步 提供 的 内 部 设施 和 为 信号 量 提供 的 对 应 
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设施 。 IAS ` we 
8.13 说 明 UNIX (Bach, 1986) 提供 的 内 部 设施 如 何 用 来 控制 对 共享 数据 结构 的 访问 。 假 设 这 
里 有 多 个 读者 和 写 者 。 虽 然 多 个 读者 可 以 同时 并 发 访问 读数 据 结构 ， 但 是 在 任意 时 刻 却 


只 允许 一 个 写 者 任务 。 更 进一步 说 ， 不 允许 读者 任务 和 号 者 任务 的 混合 。 方案 还 应 该 考 
虑 给 读者 任务 以 优先 权 。 

8.14 说 明 信 号 量 的 操作 如 何在 一 个 没有 忙 等 待 的 单 处 理 器 系统 的 操作 系统 核心 里 实现 。 你 的 
解决 方案 需要 哪些 硬件 设施 ? 。 


8.15 说 明 怎 样 使 用 POSIX 互 斥 锁 和 条 件 变量 来 实现 一 个 可 读 可 写 的 共享 数据 结构 。 人 允许 多 个 
并 发 的 读者 或 单个 写 者 ， 但 不 能 同时 允许 读者 和 写 者 。 
8.16 说 明 如 何 使 用 POSIX 互 斥 锁 和 条 件 变 量 实现 资源 控制 器 
8.17 使 用 Ada 保 护 对 象 实现 练习 7.8 的 进程 同步 。 
8-18 对 比 POSIX 互 斥 锁 和 条 件 变量 提供 的 设施 和 Ada 保 护 对 象 提供 的 设施 。 
8.19 使 用 保护 对 象 重 做 练习 8.11。 
8.20 使 用 保护 对 象 实现 定量 信号 量 。 
8.21 说 明 如 何 使 用 一 个 或 多 个 保护 对 象 实现 Hoare 管 程 。 
8.22 解释 下 面 的 Ada 保 护 对 象 所 实现 的 同步 : 
protected type Barrier (Needed : Positive) is 
entry Wait; 
private 
Releasing : Boolean := False; 
end Barrier; 


protected body Barrier is 


entry Wait when Wait' Count = Needed or Releasing is 


begin 
if Wait' Count = 0 then 
Releasing :- False; 
else 
Releasing :- True; 
end if; 
end Wait; 


end Barrier; 


下 面 的 包 提供 了 对 POSIX 互 斥 锁 和 条 件 变 量 的 简化 Ada 绑 定 。 所 有 的 互 斥 和 条 件 变 量 都 被 
初始 化 为 默认 属性 。 


package Pthreads is 
type Mutex T is limited private; 
type Cond T is limited private; 


procedure Mutex Initialise (M: in out Mutex T); 
procedure Mutex Lock (M: in out Mutex T); 
procedure Mutex Trylock (M: in out Mutex T); 
procedure Mutex Unlock (M: in out Mutex T); 


procedure Cond Initialise (C: in out Con T); 
Procedure Cond Wait (C: in out Cond T; 
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M : in out Mutex T); 


procedure Cond Signal (C: in out Cond T); 
procedure Cond Broadcast (C: in out Cond T); 


private 


end Pthreads; 


说 明 怎 样 才能 用 这 个 包 实 现 如 上 面 定义 的 屏障 。 在 解决 方案 中 不 要 使 用 任何 Ada 的 通 
信和 同步 设施 。 
8.23 使 用 前 一 问题 中 给 出 的 Ada 包 Pthreads ， 用 Ada 重 做 练习 8.7。 不 要 使 用 任何 Ada 同 步 设 
施 。 假 设 这 里 有 两 个 接口 过 程 : 一 个 是 请 求 访问 特定 柱 面 ， 另 一 个 是 释放 柱 面 。 
package Disk Head Scheduler is 
Size Of Disk : constant := ...; 
type Disk Address is range 1 . . Size Of Disk; 
type Cylinder Address is mod 1 .. 20; 
procedure Request (Dest: Cylinder Address); 


procedure Release (Dest: Cylinder Address); 
end Disk Head Scheduler 


用 户 可 以 调用 下 面 的 磁盘 驱动 器 包 中 的 过 程 : 
with Disk Head Scheduler; use Disk Head Scheduler; 
package Disk Driver is 
procedure Read' (Data: out Data T; Addr : Disk Address); 
procedure Write (Data: in Data T; Addr : Disk Address); 
end Disk Driver; 


package body Disk Driver is 


procedure Read (Data: out Data T; Addr : Disk Address) is 
Cylinder : Cylinder Address; 


begin 
-~ 求 柱 面 地 址 
Disk Head Scheduler.Request (Cylinder); 
-- 读数 据 


Disk_Head_Scheduler.Release (Cylinder); 
end Read; 


-- 对 Write 类 似 


end Disk_Driver; 


这 个 解决 方案 不 应 该 包括 任何 任务 或 POSIX 进 程 /线程 。 
824 下 面 的 包 定 义 了 一 个 Ada 信 号 量 抽象 。 
generic 
Initial : Natural:= 1; -- 信号 量 的 默认 初始 值 
Package Semaphore Package is 
type Semaphore is limited private; 
procedure Wait (S : Semaphore); 


procedure Signal (S : Semaphore); 
private 
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. type Semaphore is ...; -- 对 此 问题 不 需要 
end Semaphore Package; 

使 用 Semaphore_Package 说 明 如 何 实现 下 面 的 通信 模式 〈 及 其 相关 的 包 规格 说 
WH). See Re (Multicast) 是 一 个 可 以 发 送 同 一 数据 到 多 个 等 待 任务 的 任务 。 
Multicast 抽 象 的 包 规格 说 明 如 下 : 
package Multicast is 

procedure Send (I : Integer); 
procedure Receive (I : out Integer); 
end Multicast: 

接受 者 任务 通过 调用 以 上 包 定 义 的 Receive 过 程 (在 本 例 中 数据 是 Integer 类 型 的 ) 
来 表明 其 接受 数据 的 意愿 。 任 务 被 这 个 调用 阻塞 。 发 送 者 任务 靠 调用 send 过 程 表明 其 想 
多 路 广播 数据 。 当 发 送 者 调用 send 过 程 时 ， 在 接受 调用 上 被 阻塞 的 所 有 任务 都 被 释放 。 
发 送 者 发 送 的 数据 将 传 给 所 有 等 待 的 任务 。 一 旦 Send 过 程 完 成 ， 任 何 对 Receive 的 新 调 
用 都 必须 等 待 下 一 个 发 送 者 。 

说 明 如 何 使 用 信号 量 实现 MuLticast 的 包 体 。 

8.25 广播 (Broadcast) 类 似 多 播 ， 但 它 要 求 所 有 的 潜在 接收 者 都 必须 接受 数据 。 Broadcast 抽象 
的 包 规格 说 明 如 下 。 
package Broadcast is 
-- 对 10 个 任务 


procedure Send (I : Integer); 
procedure Receive (I : out Integer); 


end Broadcast; 


假定 一 个 系统 有 (例如 说 ) 10 个 接受 者 任务 。 当 这 些 任务 准备 好 接受 广播 时 ， 它 们 
都 调用 过 程 Receive。 这 些 任务 被 该 调用 阻塞 。 发 送 者 任务 通过 调用 send 过 程 表明 其 想 
广播 数据 。 在 释放 接受 者 和 传送 数据 之 前 ，send 过 程 将 等 待 ， 直到 所 有 的 10 个 任务 都 已 
准备 好 接受 广播 。 如 果 有 多 个 Send 调 用 发 生 ， 那 么 这 些 调用 将 被 排队 。 

说 明 如 果 使 用 练习 8.24 中 的 信号 量 包 来 实现 Broadcast 的 包 体 。 

8.26 曾 有 建议 York 城 应 该 限制 同一 时 刻 进入 该 城 的 机 动车 辆 的 数量 。- -个 建议 是 在 进 城 的 每 
个 人 口 处 建立 监控 检查 点 ， 当 进 城 的 车 辆 数量 达到 上 限时 ， 将 交通 灯 变 成 红色 。 为 了 表 
明 城 里 的 机 动车 辆 已 满 ， 把 红色 的 灯 设置 为 闪烁 。 为 了 取得 这 个 效果 ， 将 压力 传感器 放 
在 公路 的 出 口 和 入 口 处 。 每 次 当 有 车 进 城 的 时 候 ， 发 送 一 个 信号 给 Barcontroller 任 
务 ( 与 任务 入 口 调用 一 样 ) ; 当 有 车 出 城 时 做 类 似 的 事 : 

Max Cars In City For Red Light : constant Positive := N; 
Min Cars In City For Green Light : constant Positive :- N - 10; 
type Bar is (Walmgate, Goodramgate, Micklegate, 

Bootham, Barbican); 


task type Bar Controller (G : Bar) is 
entry Car Entered; 
entry Car Exited; 





end Bar Controller; 


Walmgate Bar Controller : Bar Controller (Walmgate); 
Goodramgate Bar Controller : Bar Controller (Goodramgate); 
Micklegate Bar Controller: Bar Controller (Micklegate); 
Bootham Bar Controller : Bar Controller (Bootham); 
Barbican Bar Controller : Bar Controller (Barbican); 


请 说 明 这 些 任务 体 应 如 何 合作 ， 使 得 这 些 任务 之 一 调用 City_Traffic Lights 
Controller (其 规格 说 明 如 下 ) 以 表明 是 否 人 允许 更 多 车 辆 进出 。 


task City Traftic Lights Controller is 
entry City Is Full; 
entry City Has Space; 

end City Traffic Lights Controller; 


task body Traffic Lights Controller is separate; 
-- 在 此 问题 中 ， 对 这 个 任务 体 不 感 兴趣 

8.27 解释 为 什么 8.4.6 节 中 的 资源 控制 器 会 遇 到 竞争 条 件 问题 。 算 法 应 如 何 修改 以 消除 这 个 问 
题 。 

8.28 说 明 如 何 用 Java 实 现 读者 / 写 者 任务 问题 ， 其 中 读 任务 可 以 被 赋予 优 先 级 ， 写 任务 按 FIFO 
的 方式 服务 。 | 

8.29 说 明 如 何 用 Java 实 现 一 个 资源 控制 器 。 

8.30 请 用 Java 实 现 定量 信号 量 。 

8.31 使 用 类 conditionVariab1le 的 两 个 实例 重 做 有 界 缓冲 区 的 例子 ， 这 两 个 实例 分 别 用 于 
BufferNotFull 和 BufferNotEmpty 的 状态 。 

8.32 扩展 以 上 有 界 缓 冲 区 的 解决 方案 ， 使 其 产生 一 个 可 以 禁止 访问 的 缓冲 区 ， 这 个 方法 可 以 
解决 8.8.2 节 中 的 继承 反常 问题 吗 ? 

8.33 考虑 下 面 的 Java 类 


public class Event 

{ 
public synchronized void highPriorityWait (); 
public synchronized void lowPriorityWait (); 
public synchronized void signalEvent O; 


) 


说 明 如 何 实现 这 个 类 ， 使 得 signalEvent 释 放 一 个 高 优先 级 等 待 线程 ， 如 果 有 一 个 
线程 在 等 待 的 话 ; 如 果 没 有 高 优先 级 的 等 待 线程 ， 那么 释放 一 个 低 优先 级 等 待 线程 ; 如 
果 没 有 任何 线程 在 等 待 ， 则 signalEvent 没 有 任何 效果 。 

现在 考虑 可 以 为 方法 关联 一 个 Id 的 情况 。 该 算法 应 如 何 修改 以 使 signalEvent 操 作 
唤醒 合适 的 阻塞 线程 。 





第 9 章 ”基于 消息 的 同步 与 通信 


9.1 进程 同步 9.6 CHILL 语 言 
9.2 进程 指名 和 消息 结构 9.7 远程 过 程 调用 
9.3 Ada 和 occam2 的 消息 传递 语义 小 结 

9.4 选择 性 等 待 相关 阅读 材料 

9.5 POSIX 消 息 练习 





共享 变量 式 同 步 和 通信 的 替代 物 是 基于 消息 传递 的 同步 和 通信 。 这 种 方法 的 特征 是 对 同 
步 和 通信 二 者 使 用 一 个 构造 。 然 而 ， 在 这 个 大 类 别 里 面 ， 有 多 种 多 样 的 语言 模型 。 消 息 传 递 
语义 上 的 这 种 多 样 性 由 以 下 三 个 问题 产生 并 支配 

1) 同步 的 模型 

2) 进程 指名 方法 

3) 消息 结构 

本 章 依次 研究 这 三 个 问题 ， 然 后 讨论 各 种 语言 (包括 Ada 和 occam2) 的 消息 传递 模型 以 
及 实时 POSIX 模 型 。Java 不 显 式 支持 消息 传递 模型 ， 然 而 能 够 产生 实现 此 模型 的 类 。 不 过 ， 
由 于 没有 引入 新 的 语言 特征 ， 本 章 不 讨论 Java。 


9.1 进程 同步 


对 所 有 基于 消息 的 系统 而 言 ， 有 一 个 隐 式 的 同步 ， 即 接受 者 进程 不 能 在 消息 被 发 送 前 得 
到 它 。 虽 然 这 是 十 分 明显 的 ， 却 必须 同 共享 变量 的 使 用 进行 比较 ， 在 这 种 情况 下 ， 接 受 者 进 
程 可 能 读 一 个 变量 ,而 并 不 知道 它 是 否 由 发 送 者 进程 写 过 了 。 如 果 进 程 执行 无 条 件 消息 接受 ， 
而 当时 无 消息 可 用 ， 那 么 它 将 被 挂 起 直到 消息 到 达 。 

进程 同步 模型 的 变异 来 自发 送 操作 的 语义 ， 可 将 它 粗 略 分 为 以 下 三 类 : 

“异步 (或 不 等 待 ): 发 送 者 立即 前 进 ， 不 管 消息 是 否 被 接收 到 。 异步 发 送出 现在 CONIC 
(Sloman 等 ，1984) 和 包括 POSIX 在 内 的 若干 操作 系统 中 。 

* 同步 : 发 送 者 只 在 消息 被 收 到 的 时 候 才 前 进 。 在 CSP (Hoare, 1985) 和 occam2 中 使 用 
同步 发 送 。 

* 远程 召 用 (remote invocation): 发 送 者 只 在 从 接收 者 返回 答复 的 时 候 才 前 进 。 远 程 召 用 
发 送 是 请 求 响应 式 通 信 的 模型 ， 并 出 现 于 Ada、SR (Andrews and Olsson, 1993), 
CONIC (Sloman, 1984) 和 各 种 操作 系统 中 。( 译 者 注 : 本 书 其 他 章 中 将 call 和 
invocation 都 译 为 “调用 ”。 但 在 本 章 中 ， 因 多 次 出 现 remote procedure call 和 remote 
invocation， 为 避免 混淆 ， 将 call 译 为 “调用 ”， 将 invocation 译 为 “ 召 用 ”。) 

为 了 了 解 这 些 方法 之 间 的 差别 ， 考 虑 下面 的 类 比 。 信件 的 邮寄 是 异步 发 送 一 -发 送 者 把 信 

件 投 进 邮箱 之 后 就 去 过 自己 的 日 子 ， 只 有 通过 一 封 回信 ， 发 送 者 才能 知道 第 一 封 信和 是 否 已 实际 
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收 到 。 从 接收 者 的 观点 看 ， 一 封 信 只 能 告诉 读 信人 过 时 的 事件 ， 关 于 发 信人 的 现在 情况 一 点 都 
说 不 出 来 。 . 

电话 是 同步 通信 的 一 个 更 好 的 类 比 。 发 送 者 一 直 等 待 ， 直 到 联络 上 并 验 明 了 接收 者 的 身 
份 之 后 ， 才 把 消息 送出 。 如 果 接 收 者 能 立即 回答 ( 即 在 同一 次 呼叫 中 ) ， 那 么 这 种 同步 是 远程 
BA. 因为 发 送 者 和 接收 者 “集合 到 一 起 ”进行 同步 通信 , 所 以 经 常 称 之 为 会 合 (rendezvous ) 。 
这 种 远程 召 用 形式 被 称 为 扩展 会 合 (extended rendezvous ) ， 因 为 在 回复 送出 之 前 ( 即 在 会 合 
期 间 ) 可 进行 任意 的 计算 。 : 

显然 ， 在 这 三 种 发 送 方式 之 间 有 一 个 关系 。 两 个 异步 事件 就 能 基本 上 组 成 一 个 同步 关系 ， 
如 果 总 是 发 送 (HEF) 一 个 确认 消息 的 话 : 


Pl P2 
asyn_send (message) wait (message) 
wait (acknowledgement) > asyn send (acknowledgement) 
此 外 ， 两 个 同步 通信 可 用 来 构造 一 个 远程 召 用 : 
Pl P2 
Syn send (message) wait (message) 


wait (reply) eee 
construct reply 


syn_send (reply) 

因为 一 个 异步 发 送 可 用 于 构造 另外 两 个 ， 可 能 有 人 会 认为 这 个 模型 有 最 大 的 灵活 性 ， 语 音 和 
操作 系统 应 当 采 纳 它 。 然 而 ， 使 用 这 个 模型 有 不 少 缺 点 : 

1) 可 能 需要 无 穷 多 个 缓冲 区 来 存储 未 被 读 的 消息 (可 能 因为 接收 者 已 经 终止 )。 

2) 因为 异步 通信 和 是 过 时 的 ， 大 多 数 发 送 的 编程 都 期 望 收 到 确认 消息 ( 即 同步 通信 )。 

3) 异步 模型 需要 较 多 的 通信 ， 所 以 程序 更 复杂 。 

4) 更 难以 证 明 完整 程序 的 正确 性 。 

注意 ， 在 同步 消息 传递 语言 中 想 要 进行 异步 通信 的 地 方 ， 可 以 很 容易 地 构造 缓冲 区 进程 。 
然而 ， 进 程 的 实现 不 是 没有 代价 的 ， 所 以 ， 缓 冲 区 进程 太 多 可 能 对 系统 的 整体 性 能 有 不 利 影响 。 


9.2 进程 指名 和 消息 结构 


进程 指名 包括 两 个 有 区 别 的 子 问题 ， 直 接 还 是 间接 以 及 对 称 性 。 在 直接 指名 方案 中 ， 消 
息 的 发 送 者 显 式 指出 接收 者 的 名 字 : 

send < 消息 > to < 进程 名 字 > 

在 间接 指名 方案 中 ,发 送 者 指出 某 个 中 间 实体 (有 各 种 名 称 : 通道 、 邮 箱 、 链 或 管道 ): 

send < 消息 > to < 邮箱 > 

注意 ， 即 使 是 对 邮箱 ， 消 息 传递 也 可 以 是 同步 的 ( 即 发 送 者 将 等 待 直到 消息 被 读 走 )。 直 
接 指名 的 优点 是 简明 ， 而 间接 指名 有 助 于 软件 的 分 解 ， 邮 箱 可 看 作 程序 不 同 部 分 之 间 的 接口 。 

如 果 发 送 者 和 接收 者 双方 互相 (直接 或 间接 地 ) 指出 名 字 ， 那 么 指名 方案 就 是 对 称 的 : 


send < 消息 > to < 进程 名 字 > f 
wait < 消息 > from < 进程 名 字 > 


send < 消息 > to < 邮箱 > 
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wait < 消息 > from < 邮箱 > 
如 果 接 收 者 不 指出 具体 来 源 ， 只 是 从 任 一 进程 〈 或 邮箱 ) 接收 消息 ， 那 就 是 不 对 称 的 : 
wait < 消息 > 
不 对 称 指名 适合 客户 机 /服务 器 模式 : 其 中 “服务 器 ”进程 提供 服务 以 响应 从 多 个 “客户 
机 ”进程 之 一 来 的 消息 。 所 以 ， 实 现 必 须 有 能 力 支持 等 待 服务 器 的 进程 队列 。 
如 果 指 名 是 间接 的 ， 那 么 还 有 进一步 的 问题 要 研究 ， 中 间 实 体 可 以 是 : 
。 多 对 一 结构 ( 即 任意 多 个 进程 可 以 写 它 ， 而 只 有 一 个 进程 可 以 读 它 )， 这 也 适合 客户 
机 一 服务 器 模式 。 
* 多 对 多 结构 ( 即 多 个 客户 机 和 多 个 服务 器 )。 
* 一 对 一 结构 ( 即 一 个 客户 机 和 一 个 服务 器 )， 注意， 这 种 结构 不 需要 运行 时 支持 系统 维 
护 队 列 。 
“一 对 多 结构 ， 当 一 个 进程 希望 发 送 一 个 请 求 给 一 组 工作 者 进程 ， 且 它 并 不 在 意 是 哪个 进 
程 为 此 请 求 服务 的 时 候 ， 这 种 结构 就 有 用 了 。 
消息 结构 
理想 的 情况 是 语言 应 当 允 许 任何 定义 的 (预定 义 的 或 用 户 的 ) 类 型 的 数据 对 象 都 能 在 消 
息 中 传输 。 实 现 这 种 理想 是 困难 的 ， 特 别 是 当 数据 对 象 在 发 送 者 和 接收 者 中 有 不 同 表示 的 时 
候 ， 如 果 表 示 包 括 指 针 ， 就 更 困难 了 (Herlihy and Liskov，1982)。 由 于 这 些 困 难 ， 某 些 语言 
(例如 occam-1) 限制 消息 内 容 为 系统 定义 类 型 的 非 结 构 的 、 固 定 大 小 的 对 象 。 较 现代 的 语言 
消除 了 这 些 限 制 ， 然 而 ， 现 代 操 作 系 统 依然 要 求 在 传输 前 将 数据 转换 成 字 节 。 


9.3 Ada 和 occam2 的 消息 传递 语义 


Ada 和 occam2 都 能 进行 基于 消息 传递 的 通信 和 同步 。 对 于 occam2， 这 是 惟一 可 用 的 方 
法 ; 对 于 Ada， 如 同 在 上 一 章 里 着 到 的 ， 通 信 还 可 以 通过 共享 变量 和 保护 类 型 进行 。 然 而 ， 在 
两 个 语言 纳入 基于 消息 的 方案 之 间 有 重要 的 差别 。 简单 地 说 , Ada 使 用 直接 不 对 称 的 远程 召 用 ， 
而 occam2 却 包含 间接 对 称 的 同步 消息 传递 。 两 个 语言 都 使 消息 有 灵活 的 结构 。 现 在 将 描述 两 
个 语言 。 先 描述 occam2 ， 因 为 它 有 更 简单 的 语义 。 

9.3.1 occam2 模 型 

occam2 进 程 是 没有 名 字 的 ， 所 以 在 通信 中 必须 使 用 经 由 通道 的 闻 接 指名 。 每 个 通道 只 能 
由 一 个 写 者 和 一 个 读者 进程 使 用 。 两 个 进程 都 指出 这 个 通道 的 名 字 ， 语 法 很 简洁 : 

ch ! x -- 写 表 达 式 X 的 值 到 通道 ch 

ch ? Y -- 从 通道 ch 读 到 变量 Y 
上 面 的 代码 中 ， 变 量 Y 和 表达 式 X 是 同一 类 型 。 通 信和 是 同步 的 ， 所 以 先 访问 这 个 通道 的 进程 将 
被 挂 起 。 当 另 一 个 进程 到 达 时 ， 数 据 将 从 Xx 传 给 Y (这 可 被 看 作 分 布 式 赋值 Y :=X)。 然 后 两 个 
进程 并 发 而 且 独立 地 继续 它们 的 执行 。 为 说 明 这 种 通信 ， 考 虑 在 它们 之 间 传 送 1 000 个 整数 的 
两 个 进程 : 

CHAN OF INT ch: 


PAR 
INT V: 





N 
- 





222 ET 


SEQ i - 0 FOR 1000 --- 进程 1 
SEQ 
-- 生成 值 V 
ch! V 
INT C: 
SEQ i = 0 FOR 1000 --- 进程 2 
SEQ 
ch? C 
-- 使 用 Cc 


对 于 两 个 循环 的 每 次 迭代 ， 两 个 进程 发 生 一 次 会 合 。 

occam2 中 的 通道 是 有 类 型 的 ， 并 可 被 定义 成 传送 任何 合法 类 型 (包括 结构 类 型 ) 的 对 象 。 
也 能 定义 通道 的 数组 。 

重要 的 是 要 认识 到 : 通道 上 的 输入 和 输出 操作 被 认为 是 基础 性 的 语言 原 语 。 它 们 成 为 
occam2 中 的 五 个 原 语 进程 中 的 两 个 。 其 他 的 是 SKIP、STOP 和 赋值 ( 见 第 3 章 )。 比 较 起 来 ， 
Ada 中 的 通信 和 同步 不 具有 这 样 一 个 中 心 作 用 。 
9.3.2 Ada 模 型 


远程 召 用 的 语义 同 过 程 调用 有 许多 表面 的 相似 性 。 数 据 传送 给 接收 者 ， 按 收 者 执行 ， 然 
后 返回 数据 。 因 为 这 种 相似 性 ，Ada 以 一 种 同 过 程 、 保 护 子 程序 和 入 口 的 定义 兼容 的 方式 支持 
程序 消息 的 定义 。 尤 其 是 参数 传递 模型 是 相同 的 (就 是 说 ， 所 有 情况 都 用 仅 有 的 一 个 模型 )。 

为 了 使 任务 接受 一 个 消息 ， 它 必须 定义 一 个 入 口 (entry )。 像 前 面 一 样 ， 人 允许 任意 多 个 、 
任意 模式 和 任意 类 型 的 参数 。 例 如 : 

task type Screen Output (Id : Screen Identifier) is 

-- 一 个 任务 类 型 定义 
一 个 entry Call (Value : Character; X_Coordinate, 
Y Coordinate: Integer); 

end Screen Output; 

Display: Screen Output (Ttyl); 

-~ Ttyl 的 类 型 是 Screen Identifier 

task Time Server is -- 单个 任务 定义 

entry Read Time (Now : out Time); 
entry Set Time (New Time : Time); 

end Time Server; 

入口 可 定义 为 私有 的 ， 这 意味 着 它 只 能 被 位 于 任务 体 的 任务 调用 。 例 如 ， 考 虑 下 面 的 
Telephone_Operatoz 任 务 类 型 。 它 提供 了 三 种 服务 : 一 个 查询 人口 ， 需 要 订户 的 名 字 和 
地 址 ; 另 一 个 查询 和 人口， 需要 订户 的 名 字 和 邮政 编码 ; 一 个 故障 报告 服务 ， 需 要 故障 线路 的 
号 码 。 此 任务 还 有 一 个 由 其 内 部 任务 使 用 的 私有 人 口 : 

task type Telephone Operator is 

entry Directory Enquiry (Person : in Name; Addr : in Address; 
Num : out Number); 
entry Directory Enquiry (Person : in Name; 


Zip : in Postal Code; Num : out Number); 


entry Report Fault (Num : Number); 
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private 
entry Allocate Repair Worker (Num : out Number); 


end Telephone Operator; 


Ada 还 提供 一 个 设施 ,借助 它 可 以 定义 人 口 的 数组 一 一 这 被 称 为 入 口 族 (entry family). 
例如 ， 考 虑 有 7 个 输入 通道 的 多 路 器 。Ada 不 是 把 每 个 通道 表示 成 单独 的 入 口 ， 而 是 将 它们 定 
义 成 一 个 族 2 。 

type Channel Number is new Integer range 1 .. 7; 

task Multiplexor is 


entry Channels (Channel Number) (Data: Input Data); 


end Multiplexor; 


上 面 的 代码 定义 了 7 个 入 口 ， 它 们 都 有 相同 的 参数 规格 说 明 。 

为 调用 一 个 任务 ( 即 向 它 发 送 一 个 消息 )， 只 需 简单 地 指出 接收 者 任务 的 名 字 及 其 入 口 的 
AF (指名 是 直接 的 )， 例 如 : 

Display.Call (Char, 10, 20); -- Char 是 个 字符 

Multiplexor.Channels (3) (D); 


-- 3 是 入 口 族 的 序 标 
-- Dee Input Data 


Time Server.Read Time (T); -- T 的 类 型 是 Time 


注意 在 最 后 一 个 例子 中 ， 被 传送 的 惟一 数据 以 相反 的 方向 传送 给 消息 自身 (通过 一 个 “out” 
参数 )。 这 可 能 导致 术语 上 的 混乱 ， 所 以 在 Ada 中 通常 不 用 “消息 传递 ” (message passing) 
这 个 术语 。“ 扩 展会 合 ” 的 说 鞭 歧 义 性 较 小 。 

从 调用 任务 的 观点 看 ，Ada 的 保护 入 口 和 任务 入 口 是 等 同 的 。 

如 果 问 一 个 不 活动 的 任务 发 出 了 入 口 调用 ， 就 在 调用 点 引发 异常 Tasking_Error。 这 
就 使 得 在 一 个 任务 非 预期 地 过 早 终止 时 能 够 采取 一 个 替代 的 动作 ， 如 下 所 示 。 


begin 

Display.Call (C, I, J); 
exception 

when Tasking Error => -~ 登录 出 错 并 继续 
end; 


注意 这 不 等 价 于 一 个 任务 是 否 可 用 的 预先 检查 : 
if Display‘ Terminated then 


-- 登录 出 错 并 继续 


else 
Display.Call (C, I, J); 
end if; 


穿插 执行 可 能 引起 一 个 任务 在 属性 已 经 求 值 之 后 、 调用 被 处 理 前 终止。 
接收 一 个 消息 包括 接受 适当 入 口 的 调用 : 
accept Call (C: Character; I, J : Integer) do 


Local Array (I, J) : = C; 
end Call; 


eee 


但。 Ada 还 允许 保护 人 口 族 和 保护 私有 入 n. 
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accept Read Time (Now : out Time) do 
Now := Clock; 
end Read_Time; 


accept Channels (3) (Data: Input_Data) do 
-- 保存 从 人口 族 中 第 3 个 通道 来 的 数据 
289 end Channels; 


accept 语 句 必须 是 在 任务 体 〈 而 不 是 被 调用 的 过 程 ) 里 出 现 ， 但 它 可 被 放 在 任何 其 他 语句 是 
合法 的 地 方 。 它 甚至 可 被 放 在 另 一 个 接受 语句 里 (虽然 不 是 同一 个 人 口 的 )。 所 有 入 口 (和 族 
KA) 应 当 有 与 之 关联 的 接受 语句 。 这 些 接受 语句 指名 相关 的 和 人口 ， 但 不 指名 发 出 调用 的 任 
务 。 因 此 ， 指 名 是 不 对 称 的 。 

为 了 给 出 两 个 任务 进行 交互 的 简单 例子 ， 像 occam2 的 例子 一 样 ， 考 虑 两 个 循环 往复 并 在 
它们 之 间 传送 数据 的 任务 。 在 Ada 代 码 中 ， 这 些 任务 交换 数据 。 


procedure Test is 


Number Of Exchanges : constant Integer := 1000; 
task TI is 

entry Exchange (I : Integer; J : out Integer); 
end T1; 
task T2; 


task body T1 is 
A, B : Integer; 
begin 
for K in 1 .. Number Of Exchanges loop 
-- 生产 A 
accept Exchange (I : Integer; J : out Integer) do 
J := A; 
B := I; 
end Exchange; 
~- 消费 B 
end loop; 
end T1; 


task body T2 is 
C, D : Integer; 
begin 
for K in 1 .. Number Of Exchanges loop 
-- 生产 c 
Tl.Exchange (C, D); 
-- 消费 D 
end loop; 
end T2; 


begin 
null; 
end Test; 


RAMNES (TLRITZ) 之 间 的 关系 本 质 上 是 对 称 的 ， 但 Ada 的 不 对 称 指名 要 求 它们 有 十 分 
不 同 的 形式 。 应 当 将 这 一 点 与 cccam2 代 码 进行 比较 ， 那 里 保持 了 对 称 性 。 





AFM OF P ife 225 


93.3 异常 处 理 和 会 合 

由 于 在 会 合 期 间 可 以 执行 任何 合法 的 Ada 代 码 ， 当 然 就 有 在 accept 语 句 里面 引发 异常 的 
可 能 性 。 如 果 出 现 这 种 情况 ， 那么， 或 者 

* 在 accept 语 句 (或 是 作为 accept 语 句 的 一 部 分 ， 或 是 在 accept 语 句 里 面 的 幅 套 块 里 ) 里 有 

一 个 合法 的 异常 处 理 程序 ， 这 种 情况 下 accept 语 句 可 正常 终止 ， 或 者 

。 在 accept 语 句 里 面 引 发 的 异常 未 被 处 理 ， 接 受 语 名 立即 终止 。 
在 后 一 种 情况 ， 指 名 的 异常 将 在 被 调用 任务 和 调用 任务 中 再 次 被 引发 。 被 调用 的 任务 将 在 接 
受 语 名 后 面 立 即 引发 该 异常 ， 调 用 任务 将 在 入口 调用 之 后 引发 它 。 然 而 ， 作 用 域 问题 可 能 使 
得 该 异常 在 调用 任务 中 成 为 无 名 的 。 

为 说 明 会 合 和 异常 模型 之 间 的 交互 ， 考 虚 一 个 作为 文件 服务 器 的 任务 ， 其 入 口 之 一 允许 
客户 任务 打开 一 个 文件 : 


task File Handler is 
entry Open (F : File Type); 


end File Handler; 


task body File Handler is 


begin 
loop 
begin 


accept Open (F : File Type) do 
loop 
begin 
Device Open (F); 
return; 
exception 
when Device Off Line => 
Boot Device; 
end; 
end loop; 
end Open; 


exception 
when File Does Not Exist -» 
null; 
end; 
end loop; 
end File Handler; 


在 这 段 代码 中 ，File_Handler 调 用 一 个 设备 驱动 程序 打开 指定 的 文件 。 这 个 请 求 或 是 
成 功 ， 或 是 导致 引 | 发 两 个 异常 Device_off_Line 或 File Doe s_not_Exist 之 一 。 第 一 
个 异常 在 接受 语句 中 被 处 理 : 尝试 去 引导 这 个 设备 ， 然 后 重复 打开 请 求 。 由 于 该 异常 处 理 程 
序 是 在 接受 语 名 里面， 客户 任务 意识 不 到 这 种 活动 (虽然 如 果 设备 拒绝 引导 ， 它 将 会 被 永远 
挂 起 )。 第 二 个 异常 归 因 于 用 户 任务 的 错误 请 求 。 所 以 在 该 接受 语句 中 未 被 处 理 ， 并 被 传播 到 


N 
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调用 任务 ， 这 个 任务 需要 保护 自己 以 防 这 个 异常 发 生 。 


begin 
File Handler.Open (New File); 
exception 
when File Does Not Exist => 
File Handler.Create (New File); 
File Handler.Open (New File); 
end; 


注意 ， 服 务 器 任务 也 通过 在 其 外 层 循环 构造 中 定义 一 个 块 来 保护 自己 ， 以 防 这 个 异常 发 生 。 
9.4 选择 性 等 待 


到 目前 为 止 讨 论 过 的 所 有 消息 传递 形式 中 ， 消 息 的 接收 者 必须 等 待 ， 一 直到 指定 的 进程 
或 通道 交付 通信 。 一 般 来 说 ， 这 太 受 限制 了 。 接 受 者 进程 实际 上 可 能 希望 等 待 调用 它 的 许多 
进程 中 的 任意 一 个 。 服 务 器 进程 接收 来 自 许多 客户 的 请 求 消息 ， 客 户 调用 的 次 序 对 服务 器 而 
言 是 未 知 的 。 为 方便 这 种 常用 程序 结构 ， 允 许 接收 者 进程 选择 性 地 等 待 多 个 可 能 的 消息 。 但 
是 ， 为 了 完整 理解 选择 性 等 待 ， 必 须 首先 解释 Dijkstra 的 守备 命令 (Dijkstra, 1975), 

FAY (guarded command) 是 一 种 仅 在 其 守备 求 值 为 ?RUE 时 才 执 行 的 命令 。 例 如 : 


x < y ->m := x 


.这 意味 着 ， 如 果 x 小 于 y， 则 将 x 的 值 赋 给 m。 守 备 命令 本 身 不 是 一 个 语句 ， 而 是 守备 命令 集合 


的 一 个 成 分 。 在 这 里 ， 关 心 的 只 是 选择 (或 备 选 ) 构造 : 


if X <= y -> m := x 
O x >=y ->m:=y 
fi 


Ler. ELMS, RPT Extn, Rey em. MERNE 
选 都 是 可 能 的 ， 即 两 个 守备 都 为 真 (此 例 中 是 x=y)， 则 进行 一 个 任意 的 选择 。 程 序 员 不 能 确 
定 取 哪 条 路 径 ， 所 以 ， 这 种 构造 是 不 确定 性 的 (non-deterministic ) 。 一 个 构造 良好 的 程序 对 
所 有 可 能 的 选择 都 是 合法 的 。 在 此 例 中 ， 当 x=y 时 ， 两 条 路 径 都 有 相同 效果 。 

重要 的 是 要 注意 到 这 种 不 确定 性 结构 十 分 不 同 于 用 正规 if 语 句 构造 出 来 的 确定 性 形式 : 


if x <= y then m := x; 
elsif x >= y then m := y; 
end if; 


这 里 x=y 将 确保 将 x 的 值 赋 给 m。 

一 般 选 择 结构 可 以 有 任意 多 个 守备 成 分 。 如 果 有 一 个 以 上 的 守备 求 值 为 TRUE ， 则 选择 是 
任意 的 。 但 如 果 没 有 一 个 守备 求 值 为 TRUE， 则 被 看 成 一 个 出 错 状 态 ， 语 句 和 执行 它 的 进程 将 
被 中 止 。 

守备 命令 是 一 种 通用 程序 结构 。 然 而 ， 如 果 被 守备 的 命令 是 消息 操作 符 (正常 的 是 接收 
操作 符 ， 虽 然 在 某 些 语言 中 还 有 发 送 )， 这 种 语句 就 称 为 选择 性 等 待 (selective waiting )。 它 
是 在 CSP (Hoare，1978) 中 首先 引进 的 ， 在 Ada 和 occam2 中 都 提供 了 。 

9.4.1 occam2 的 ALT 


考虑 一 个 进程 ， 它 接连 从 三 个 通道 (chi. ch2 和 ch3) 读 整 数 ， 然 后 把 它 接收 的 整数 接 
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连 输出 到 另 一 通道 (chout )。 如 果 整 数 到 达 的 顺序 就 是 三 个 通道 的 顺序 ， 则 一 个 简单 的 循环 
构造 就 足够 了 。 
WHILE TRUE 
SEQ 

chl — ? -- 对 某 个 局 部 整数 I 

chout ! 

ch2 ? 

chout ! 

ch3 ? 

chout ! 


H HHHH 


I 
然而 ， 如 果 到 达 的 次 序 是 未 知 的 ， 则 进程 每 循环 一 次 就 必须 在 三 个 备 选 中 进行 一 次 选择 : 
WHILE TRUE 
ALT 
chi ? I 
chout t I 
ch2 ? I 
chout ! I 
ch3 ? I 
chout 1I 


[293] 
如 果 在 ch1、ch2 或 ch3 上 有 一 个 整数 ， 它 将 被 读 出 ， 并 执行 规定 的 动作 。 在 这 里 总 是 输出 最 


近 获 得 的 整数 到 输出 通道 chout 。 在 那 种 有 一 个 以 上 的 输入 通道 准备 通信 的 情况 ， 对 读 哪个 
通道 做 一 个 任意 的 选择 。 在 研究 无 任何 通道 就 绪 的 ALT 语 句 的 行为 之 前 ， 先 概略 给 出 ALT 语 名 
的 一 般 结 构 。 它 由 一 组 守备 进程 组 成 : 

ALT 


Gl 
Pl 


Pn 

这 些 进程 自身 不 受 限 制 一 它们 是 任何 occam2 进 程 。 守 备 (它们 也 是 进程 ) 可 取 三 种 形式 之 
一 (第 四 种 可 能 性 包括 时 间 延 迟 的 规格 说 明 ， 在 第 12 章 研究 )。 

< 布尔 表达 式 > & 通道 输入 操作 

通道 输入 操作 

< 布尔 表达 式 > & SKIP 
所 以 最 一 般 形式 是 一 个 布尔 表达 式 和 一 个 通道 读 ， 例 如 

NOT BufferFull & ch ? BUFFER[TOP] 

如 果 布 尔 表达 式 就 是 TRUE , 则 可 被 完全 省 略 (如 在 前 面 例子 中 那样 )。 守备 的 SKIP 形式 
用 于 规定 在 其 他 备 选 动作 被 阻止 的 时 候 采 取 的 某 种 备 选 动作 ， 例 如 : 


ALT 
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NOT BufferFull & ch ? BUFFER[TOP] 
SEQ 
TOP:= … 
BufferFull & SKIP 
SEQ 
-- 交换 缓冲 区 
在 ALT 语 句 执行 时 ， 布 尔 表 达 式 被 求 值 。 如 果 没 有 一 个 为 TRUE (并 且 没 有 默认 的 TRUE 备 选 )， 
294; 则 ALT 进 程 不 能 前 进 ， 并 变 成 等 价 于 SToP (出 错 ) 进程 。 假 设 ALT 正 确 执行 了 ， 这 些 通 道 被 
检查 ， 看 看 是 否 有 进程 正在 等 待 向 它们 写 。 可 能 发 生 下 列 可 能 之 一 : 
1) 只 有 一 个 就 绪 备 选 ， 即 有 一 个 布尔 表达 式 求 值 为 真 (连同 一 个 等 待 写 的 进程 或 一 个 
SKIP 守备 ) 一 一 这 个 备 选 被 选中 ， 会 合 发 生 (如 果 不 是 SKIP 的 话 )， 执 行 相关 的 子 进程 。 
2) 有 多 于 一 个 的 就 绪 备 选 一 一 任意 选中 一 个 ， 它 可 能 是 SKIP 备 选 ， 如 果 它 出 现 并 就 绪 的 话 。 
3) 无 就 绪 备 选 一 -ALT 被 挂 起 ， 直 到 某 个 别 的 进程 向 ALT 的 一 个 开放 通道 写 入 。 
所 以 ,如果 所 有 布尔 表达 式 求 值 为 FALSE， 则 ALT 变 成 sTOP 进 程 ， 但 如 果 没 有 未 完成 的 调用 ， 
它 将 只 被 挂 起 。 因 为 occam2 不 是 共享 变量 模型 ， 对 任何 其 他 进程 而 言 ， 不 可 能 改变 布尔 表达 
式 中 任何 成 分 的 值 。 
RALT 同 SBQ、IEF、WHILE、CASE 和 PRAR 的 组 合 提供 occam2 程 序 构造 的 完整 集合 。 重 复 器 
可 以 用 一 种 和 联系 其 他 构造 相同 的 方式 同 ALT 联 系 起 来 。 例 如 ， 考 虑 一 个 连接 器 进程 ， 它 从 
20 个 进程 读 取 (而 不 是 前 面 说 的 3 个 ) ， 然 而 ， 服 务 器 进程 不 是 使 用 20 个 不 同 的 通道 ， 而 是 像 
下 面 这 样 使 用 通道 数组 : 
WHILE TRUE 
ALT j = 0 FOR 20 
ch{j] ? I 
Chout ! I ， 
最 后 ， 应 当 注 意 到 occam2 提 供 ALT 的 一 种 变 体形 式 ， 它 不 是 任意 地 选择 就 绪 的 备 选 。 如 
果 程 序 员 希 望 给 一 个 特定 通道 以 优先 ， 那 就 应 当 把 它 放 在 PRI ALT 的 第 一 个 成 分 上 。PRI 
ALT 的 语义 指出 : 文本 上 的 第 一 个 就 绪 备 选 被 选中 。 下 面 是 PRI ALT 语 句 的 例子 。 


PRI ALT 
VeryImportantChannel ? message 
-- 动作 
ImportantChannel ? message 
-- 动作 
LessImportantChannel ? message 
-- 动作 
WHILE TRUE 
PRI ALT j = 0 FOR 20  -- ch[0] 被 给 以 最 高 优先 
ch[j] ? I 
` chout ! I 
295 使 用 PRI ALT 的 例子 在 11.3.1 节 给 出 。 
ARAFE 


occam? 提供 无 共享 变量 的 通信 原 语 ， 所 以 ， 像 缓冲 区 这 样 的 资源 控制 器 必须 被 实现 为 服 
务 器 进程 〈( 见 7.2.1 节 )。 为 实现 一 个 单一 读者 和 单一 写 者 的 缓冲 区 , 需要 使 用 两 个 通道 将 缓 神 
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区 进程 和 客户 进程 连接 起 来 (对 更 多 读者 和 写 者 的 情况 需要 通道 数组 ): 
CHAN OF Data Take, Append: 

令 人 遗憾 的 是 ， 这 个 缓冲 区 的 自然 形式 会 是 : 
VAL INT Size IS 32: l 


INT Top, Base, NumberInBuffer: 
[Size]Data Buffer: 


SEQ 
NumberInBuffer := 0 
Top := 0 
Base := 0 
WHILE TRUE 
ALT 
NumberInBuffer < Size & Append ? Buffer [Top] 
SEQ 
NumberInBuffer := NumberInBuffer + 1 
Top := (Top + 1) REM Size 
NumberInBuffer > 0 & Take ! Buffer[Base] -- 非法 occam 代码 
SEQ 
NumberInBuffer : = NumberInBuffer - 1 
Base := (Base + 1) REM Size 


occam2 不 允许 在 此 上 下 文中 有 输出 操作 。 只 有 输入 操作 可 作为 ALT 守 备 的 一 部 分 。 这 种 限制 
的 理由 是 分 布 式 系统 的 实现 效率 。 问 题 的 本 质 是 对 称 守备 的 规定 可 能 导致 ALT 在 两 端 访 问 一 
个 通道 。 所 以 ， 一 个 ALT 的 任意 决定 会 依赖 于 另 一 个 的 决定 (反之 亦 然 )。 如 果 ALT 是 在 不 同 
处 理 器 上 ， 那 么 集体 决定 的 协议 会 涉及 许多 低层 协议 消息 的 传送 。 

为 了 突破 对 守备 的 限制 ，occam2 迫 使 Take 操 作 被 编制 成 一 个 双重 的 交互 。 首 先是 客户 进 
程 必须 指出 它 愿意 进行 TAKE 操 作 ， 然 后 它 必 须 Take， 因 此 需要 第 三 个 通道 : 


CHAN OF Data Take, Append, Request: 


客户 必须 发 出 下 列 调用 
SEQ 
Request ! ANY -- ANY 是 一 任意 语言 要 素 
Take ? D -- D 是 DATA 类 型 的 
缓冲 区 进程 本 身 有 下 列 形式 : 296 


VAL INT Size IS 32: 
INT Top, Base, NumberInBuffer: 
[Size]Data Buffer: 
SEQ 

NumberInBuffer :- 0 

Top := 0 

Base := 0 

Data ANY: 

WHILE TRUE 

ALT 
NumberInBuffer < Size & Append ? Buffer[Top] 
SEQ 
NumberInBuffer  :- NumberInBuffer 4 1 
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Top :- (Top * 1) REM Size 
NumberInBuffer » 0 & Request ? ANY 
SEQ 
Take ! Buffer[Base] 
NumberInBuffer : = NumberInBuffer - 1 
Base := (Base + 1) REM Size 


因此 ， 缓 冲 区 的 正确 功能 发 挥 依赖 于 客户 进程 的 正确 使 用 。 这 种 依赖 性 是 不 良 模块 性 的 反映 。 
虽然 Ada 选 择 语句 也 是 不 对 称 的 〈 即 你 不 能 在 接受 语句 和 入 口 调用 之 间 选 择 ) ， 但 数据 可 按 相 
反方 向 传递 给 调用 这 一 事实 ， 排 除了 occam2 中 表明 的 困难 。 

9.4.2 Adalf]jselecti&f 


Ada 的 多 对 一 消息 传递 关系 能 够 用 以 容易 地 处 理 多 个 客户 都 调用 同一 人口 的 情况 。 然 而 ， 
当 一 个 服务 器 必须 处 理 对 两 个 或 两 个 以 上 不 同人 口 的 可 能 调用 时 ， 也 需要 一 个 ALT 类 型 的 结 
构 。 在 Ada 中 把 这 称 为 select 语 句 。 为 说 明 的 需要 ， 考 虑 一 个 服务 器 任务 ， 它 经 由 人 口 S1 和 
S2 提 供 两 种 服务 。 PIRES 9 通 芝 就 足够 了 了 《 即 循环 包含 “个 提供 两 个 服务 的 选择 语句 


task Server is 
entry S1 (...); 
entry S2 (...); 
end Server; 


task body Server is 
begin 
loop 
-- HE ARS 
select 
accept 51 (...) do 
-- 这 项 服务 的 代码 
end S1; 
or 
accept S2 (...) do 
-- 这 项 服务 的 代码 
end S2; 
end select; 
-- 和 干 点 清理 工作 
end loop; 
end Server; 


在 循环 的 每 次 执行 中 ， 将 执行 其 中 的 一 个 接受 语句 。 


像 第 一 个 occam2 的 例子 一 一 样 ， 这 个 Ada 程 序 没有 说 明 布尔 表达 式 在 守备 中 的 使 用 。 Ada 选 
择 语 名 的 一 般 形 式 是 : 
select 
when < 布尔 表达 式 > => 
accept < 人 口 > do 


end <A H>; 
-- 任何 语 名 序列 


or 
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-- 类 似 


end select; 
可 以 有 任意 多 个 备 选 。 除 了 接受 备 选 (是 必须 至 少 要 有 一 个 的 ) 之 外 ， 还 有 三 种 其 他 形式 
(它们 不 能 在 同一 语句 中 混用 ): 

1) 一 个 terminate (终止 ) 备 选 

2) 一 个 else (否则 ) 备 选 

3) 一 个 delay (延迟 ) 备 选 
延迟 备 选 在 第 12 章 中 将 同 occam2 的 等 价 物 一 同 研究 。else 备 选 被 定义 为 当 ( 且 仅 当 ) 没有 其 
他 备 选 立即 可 执行 的 时 候 执行 。 只 有 当 入 口 处 没有 任何 未 定 的 调用 且 入 口 的 布尔 表达 式 求 值 
为 TYrue (或 根本 没有 布尔 表达 式 ) 时 ， 这 才 会 发 生 。 

终止 备 选 在 occam2 中 没有 等 价 物 ， 但 却 是 一 个 重要 原 语 。 它 有 下 列 性 质 : 

1) 如 果 它 被 选中 ， 执 行 选择 语句 的 任务 被 终了 化 并 终止 。 

2) 它 只 能 在 不 再 有 任何 任务 可 以 调用 选择 语 名 时 才 可 被 选中 。 

说 得 更 精确 些 : 一 个 任务 将 终止 ， 如 果 依 赖 于 同一 主宰 (master) 的 所 有 任务 已 经 终止 或 
者 也 相似 地 在 选择 语句 的 终止 备 选 上 等 待 。 此 备 选 的 效果 是 能 将 服务 器 任务 构造 得 不 需要 关 
心 它们 自己 的 终止 问题 但 它们 不 再 被 需要 时 将 肯定 终止 。occam2 缺 乏 这 种 规定 ， 导 致 复杂 
的 终止 状态 且 有 相关 的 死 锁 问题 (Burns, 1988). 

选择 语句 的 执行 遵循 与 AT 类 似 的 顺序 。 首 先 将 布尔 表达 式 求 值 ， 那 些 取 假 值 的 表达 式 
使 得 在 选择 语句 执行 时 关闭 那些 备 选 。 按 这 种 方式 ， 派 生出 了 一 个 可 能 的 备 选 集合 。 若 该 集 
合 为 空 ， 则 在 选择 语句 后 面 立刻 引发 异常 Program_error。 对 正常 的 执行 ， 选 中 一 个 备 选 。 
如 果 有 一 个 以 上 的 备 选 具 有 未 完成 的 调用 ， 则 选择 是 任意 的 。 如 果 对 于 适当 的 备 选 没有 未 完 
成 的 调用 ， 那 么 或 者 

* 执行 else 备 选 ， 如 果 有 一 个 的 话 ， 或 者 

* 任务 被 挂 起 等 待 发 出 调用 (或 者 超时 到 期 一 一 见 第 12 章 )， 或 者 

。 任 务 被 终止 ， 如果 有 terminate 备 选 并 且 没 有 其 他 任务 会 调用 它 (WEE). 

注意 在 守备 中 可 以 包含 共享 变量 ， 但 不 推荐 这 样 做 ， 因 为 直到 这 个 守备 被 再 次 求 值 的 时 
候 才 会 注意 到 对 它们 的 改变 。 还 有 ， 实 时 系统 附件 允许 按 文本 顺序 对 选择 语句 的 枝 干 赋 以 优 
先 级 。 这 样 就 有 了 occam2 的 PRI ALT 的 同样 功能 。 作 为 Ada 选 择 语句 的 最 后 例子 ， 考 虑 9.3.2 
节 所 给 的 Telephone_Operator 的 任务 体 。 


task body Telephone Operator is 
Workers : constant Integer := 10; 
Failed : Number; 
task type Repair Worker; 
Work_Force : array (1 .. Workers) of Repair Worker; 
task body Repair Worker is ...; 
begin 
loop 
-- 准备 接受 下 一 个 请 求 
select 


accept Directory Enquiry (Person : in Name; 








Addr : in Address; Num : out Number) do 
-- 查 电话 号 码 并 将 值 赋 给 Num 
end Directory Enquiry; 
or 
accept Directory Enquiry (Person : in Name; 
Zip : in Postal Code; Num : out Number) do 
-- 查 电 话 号 码 并 将 值 赋 给 Num 
end Directory Enquiry; 
or 
accept Report Fault (Num : Number) do 
Failed := Num; 
end Report Fault; 
-- 存放 有 故障 的 号 码 
or 
when Unallocated Faults => 
accept Allocate Repair Worker (Num : out Number) do 
-- 取 下 一 个 故障 号 码 
Num := ...; 
end Allocate Repair Worker; 
-- 更 新 失败 回收 号 码 的 记录 
or 
terminate; 
end select; 


end loop; 

end Telephone Operator; 

局 部 任务 类 型 Repair_Worker 负 责 修理 登记 的 线路 故障 。 它 们 通过 私有 入 MAllocate_ 
Repair Workerl|iTelephone Operatorifi {%. 为 确保 该 workez 任 务 不 连续 地 同 
Telephone_Operator 通 信 ， 接受 语句 是 带 守备 的 。 还 要 注意， Telephone_Operator 在 
会 合 之 外 做 尽 可 能 多 的 工作 ， 以 使 客户 任务 能 尽 可 能 快 地 继续 下 去 。 

客户 任务 ( 见 12.4.2 节 ) 也 可 使 用 Ada 选 择 语句 且 Ada 选 择 语句 也 可 处 理 异步 事件 ( 见 10.8 
节 )。 

9.4.3 不 确定 性 、 选 择 性 等 待 和 同步 原 语 

在 上 述 讨论 中 ， 注意 到 了 当 在 一 个 选择 性 等 待 构造 中 有 一 个 以 上 的 就 绪 备 选 时 ， 在 它们 之 
间 的 选择 是 任意 的 。 这 种 任意 选择 背后 的 基本 理由 是 并 发 语言 通常 对 进程 执行 的 顺序 不 做 什 
么 假设 。 假 设 调度 程序 对 进程 进行 不 确定 性 的 调度 (不 过 具体 的 调度 程序 会 有 确定 性 行为 ) 。 

为 说 明 这 种 关系 ， 考 虑 将 执行 一 个 选择 性 等 待 构造 的 进程 P， 在 此 构造 上 可 能 调用 进程 S 
和 T。 如 果 假 定 调度 程序 的 行为 是 不 确定 性 的 ， 那么 这 个 程序 有 多 种 可 能 的 穿插 或 “历史 ”: 

1) P 先 运行 ， 它 被 阻塞 在 选择 语 名 上。 然后 $S (RT) 运行 ， 并 同 P 会 合 。 

2) S (或 T) 先 运 行 ， 并 被 阻塞 在 对 P 的 调用 上 ; 然后 P 运 行 ， 并 执行 选择 语句 ， 其 结果 
古 发 生 同 S (XT) 的 会 合 。 

3) S (RT) 先 运行 ， 并 被 阻塞 在 对 P 的 调用 上 ; 然后 T (XS) 运行 ， 也 被 阻塞 在 P 上 ， 
最 后 ，P 运 行 ， 并 执行 T 和 3$ 正 在 等 待 的 选择 语句 。 

这 三 种 可 能 而 合法 的 穿插 执行 导致 P 在 选择 性 等 待 上 没有 、 有 一 个 或 有 两 个 未 完成 的 调用 。 
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选择 语句 的 定义 是 绝对 精确 的 ， 因 为 假设 调度 程序 是 不 确定 性 的 。 如 果 P、S 和 T 可 以 按 任 何 次 
序 执行 ， 那 么 在 情况 (3)，P 应 当 能 选择 与 5 或 T 会 合 一 一 它 不 影响 程序 的 正确 性 。 
类 似 的 争论 适用 于 由 同步 原 语 定义 的 任何 队列 。 不 确定 性 调度 意味 着 所 有 这 种 队列 应 当 
以 不 确定 的 顺序 释放 进程 。 虽 然 信 号 量 队列 经 常 以 这 种 方式 定义 ， 入 口 队 列 和 管 程 队 列 经 常 
被 规定 为 FIFO 式 的 。 这 里 的 基本 理由 是 FIFO 队 列 禁止 饥 馈 。 然 而 ， 这 个 争论 是 雇 误 的 ， 如 果 
调度 程序 是 不 确定 性 的 ， 那 么 饥饿 就 能 够 发 生 (一 个 进程 永远 不 被 分 配给 处 理 器 )。 让 同步 原 
语 去 试图 预防 饥饿 是 不 适合 的 。 对 于 入 口 队列 也 应 该 是 不 确定 性 的 做 法 。 也 是 有 和 争议 的 。 
赋 有 优先 级 的 进程 调度 问题 在 第 13 章 中 详细 研究 。 


9.5 POSIX 消 息 


POSIX 通 过 消息 队列 的 概念 支持 异步 的 、 间 接 消 息 传 递 。 一 个 消息 队列 可 以 有 多 个 读者 
和 多 个 写 者 。 可 为 每 个 消息 关联 上 优先 级 ( 见 13.14.2 节 )。 

消息 队列 的 真正 意图 是 ( 可 能 是 分 布 式 的 ) 用 于 进程 之 间 的 通信 。 然 而 ， 没 有 什么 禁止 在 
同一 进程 的 线程 之 间 使 用 它们 ， 虽 然 对 这 一 点 使 用 共享 存储 器 和 互 斥 锁 会 更 有 效 ( 见 8.6.3 节 )。 

所 有 消息 都 有 一 些 属性 指出 队列 的 最 大 长 度 、 队 列 中 每 个 消息 的 最 大 长 度 、 当 前 排队 的 消息 
数 等 等 。 当 创建 队列 时 ， 有 一 个 属性 对 象 用 于 设置 队列 属性 。 队 列 的 属性 由 函数 mq_getattr 
和 mq_setattr 进 行 处 理 ( 这 些 函数 处 理 属性 本 身 ， 而 不 是 属性 对 象 ， 这 不 同 于 线程 或 互 斥 锁 
属性 )。 

消息 队列 在 创建 时 被 命名 (类似 于 文件 名 字 ， 但 不 一 定 在 文件 系统 中 表示 出 来 )。 为 得 到 
对 队列 的 访问 , 就 只 要 求 用 户 进程 去 mq_open (打开 ) 关联 的 名 字 。 像 所 有 Unix 文 件 系 统一 样 ， 
mq_open 用 于 创建 并 打开 一 个 已 经 存在 的 队列 (还 有 相应 的 mq_close 和 mq_un1link 例 程 )。 

发 送 和 接收 消息 是 通过 mq_send 和 mq_receive 例 程 完成 的 。 从 一 个 字符 缓冲 区 读 写 数 
据 。 如 果 缓 冲 区 是 满 的 或 空 的 ， 则 发 送 进程 /接收 进程 被 阻塞 ， 除 非 为 此 队列 设置 了 属性 
O_NONBLOCK (这 种 情况 给 出 一 个 错误 返回 )。 在 一 个 消息 队列 解除 阻塞 时 ， 如 果 有 发 送 者 和 
接收 者 正在 等 待 ， 没 有 规定 唤醒 哪 一 个 ， 除 非 规定 了 优先 级 调度 选项 。 如 果 进 程 是 多 线程 的 ， 
每 个 线程 都 有 权 成 为 潜在 的 发 送 者 /接收 者 。 

进程 还 能 指示 : 当 一 个 空 队列 接收 一 个 消息 而 没有 等 待 的 接收 者 时 ， 应 当 发 送 一 个 信号 
给 它 。 按 这 种 方式 ， 进 程 就 能 在 一 个 和 多 个 消息 队列 上 等 待 信息 到 达 的 同时 继续 执行 。 进 程 Gol 
还 可 能 等 待 一 个 信号 的 到 达 。 这 样 就 能 实现 选择 性 等 待 的 等 价 结构 。 

程序 9-1 概 述 了 POSIX 消 息 传递 设施 的 一 个 典型 C 接 口 。 


程序 9-1 POSIX 消 息 队 列 的 C 接 口 
eee 


typedef ... mqd_t; 

typeder ... mode t; 
typedef ... size t; 
typedef ... ssize t; 


struct mq attr { 


long mq flags; 
. long mg_maxmsg; 
long mq msgsize; 
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long mq_curmsg; 


}; 


#define O_CREAT ... 
#define O EXCL ... 
#define O_RDONLY ... 


int mq getattr (mqd_t mq, struct mq attr *attrbuf); 
/* 获取 同 mq 关联 的 当前 属性 */ 
int mq setattr (mqd_t mq, const struct mq attr *new attrs, 
struct mq attr *old attrs); 


/* 设置 同 mq 关联 的 当前 属性 */ 


mqd t mq open (const char *mq name, int oflags, mode t mode, 
struct mq attr *mq attr); 
/* 打开 /创建 指名 的 消息 队列 */ 


int mq close (mqd_t mq); 
/* 关闭 消息 队列 */ 


int mq_unlink (const char *mq_name) ; 


ssize_t mq_receive (mqd_t mq, char *msq buffer, 
Size t buflen, unsigned int *msgprio); 
/* 取 来 队列 中 的 下 一 个 消息 ， 并 将 它 存放 在 */ 
/* 由 msq_buffer 所 指 的 区 域 里 ; */ 
/* 返回 消息 的 实际 大 小 */ 
ssize_t mq receive (mqd t mq, char *msq_buffer, 
size_t buflen, unsigned int *msgprio, 
const struct timespec *abs timeout); 
/* 像 对 mq receive 一 样 ， 但 有 一 个 超时 */ 
/* 如 果 超时 到 期 ， 返 回 ETIMEDOUT */ 


int mq send (mqd t mq, const char *msd, 
size t msglen, unsigned int msgprio); 


/* 发 送 由 msq 所 指向 的 消息 */ 


int mq_timedsend (mqd_t mq, const char *msq, 
size_t msglen, unsigned int msgprio, 
const struct timespec *abs timeout); 
/* 发 送 由 msq 所 指向 的 消息 ， 带 一 个 超时 +7 
/* 如 果 超 时 到 期 ， 返 回 BTIMEDOUT */ 


int mq_notify (mqd_t mq, const struct sigevent *notification); 
/* 请 求 当 有 一 个 消息 到 达 一 个 空 消息 队列 ， 而 且 没 有 等 待 的 接收 者 时 ，*/ 
/* 向 调用 进程 发 一 个 信号 */ 


/* 所 有 上 述 整 型 函数 如 果 成 功 ， 返 回 9， 否 则 返回 -1。*/ 
/* 当 任 何 上 述 函 数 返 回 一 个 出 错 状 态 时 ，*/ 
/* 共享 变量 errno 包含 出 错 的 原因 */ 


为 了 说 明 消息 队 列 的 使 用 ， 将 第 7 章 和 第 8 章 讨论 过 的 简单 机 器 人 手臂 用 一 个 父 进程 分 又 出 
三 个 controller 粗 略 勾画 出 来 这 一 次 ， 父 进程 同 控制 器 通信 以 把 手 璧 的 新 位 置 传送 给 它们 。 
首先 给 出 controller 的 代码 。 在 这 里 假设 MQ_OPEN 和 FORK 是 两 个 函数 ， 它们 测试 来 自 
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mq_open 和 fork 系 统 调用 的 出 错 返回 ， 并 仅 在 调用 成 功 时 返回 。 


typedef enum {xplane, yplanc, zplane} dimension; 


void move_arm (dimension D, int P); 
# define DEFAULT_NBYTES 4 


/* 假设 坐标 可 用 4 个 字符 表示 */ 
int nbytes = DEFAULT NBYTES; 


#define MO XPLANE "/mq xplane" /* 
fdefine MO YPLANE "/mq yplane" /* 
#define MQ ZPLANE "/mq zplane" /* 
fdefine MODE ... 
/* 消 息 队 列 的 名 字 */ 


void controller (dimension dim) 
{ 
int position, setting; 
mqd_t my_queue; 
struct mq_attr ma; 
char buf [DEFAULT NBYTES]; 
Ssize t len; 


position - 0; 


消息 队列 名 字 */ 
消息 队列 名 字 */ 
消息 队列 名 字 */ 


switch (dim) ( /* 打开 合 送 的 消息 队列 */ 


case xplane: 
my queve = 
break; 


MQ OPEN {MQ XPLANE, 


case yplane: 
my queue - 
break; 


MQ OPEN (MQ YPLANE, 


case zplane: 


my queue - MQ OPEN (MQ ZPLANE, 
break; 
default: 
return; 
while (1) ( 
/* 读 消息 */ 
len - MQ RECRIVE (my queue, &buf 
setting = * ( (int*) (&buf 101) 
position - position * setting; 


move arm (dim, position); 


) 


O RDONLY, MODE, 


O RDONLY, MODE, 


O RDONLY, MODE, 


/* mq_open 的 模式 信息 */ 


302 
l 
&ma) ; 303 
&ma); 
&ma); 


[0], nbytes, NULL); 


3 


WUESILUBHIERUET , CORB UR, HAIER Eh: 


int main (int arge, char **argv) { 


mgd t mq xplane, mq yplane, mq zplane; 


/* 每 个 进程 一 个 队列 */ 
struct mq attr ma; /* 队列 属性 */ 
int xpid, ypid, zpid; 





w 





236 POE 





char buf[DEFAULT NBYTES]; 


/* 设置 所 需 的 消息 队列 属性 */ 
ma.mq flags = 0; /* 无 特别 行为 */ 
ma.mq maxmsg = 1; 


ma.mq msgsize = nbytes; 
/* 设置 这 三 个 消息 队列 的 实际 属性 的 调用 */ 


mq_xplane = MQ OPEN (MO XPLANE, O CREAT|O EXCL, MODE, &ma); 
mq yplane = MQ OPEN (MQ YPLANE, O_CREAT|O_EXCL, MODE, &ma); 
mq zplane = MQ OPEN (MQ ZPLANE, O CREAT|O EXCL, MODE, &ma); 


/* 复制 该 进程 ， 得 到 三 个 控制 器 */ 


switch (xpid = FORK () ) { ` 
case 0: /[* $ */ 
controller (xplane); 
exit (0); 


defauit: /* S */ 
Switch (ypid - FORK () ) ( 
case 0: /[* F */ 
controller (yplane); 
exit (0); 
default: /[* X */ 
switch (zpid = FORK () ) { 
case 0: [* Ff */ 
controller (zplane); 
exit (0); 
default: /* X */ 
break; 
} 
} 
} 


while (1) { 
/* 寻找 新 位 置 ， 并 设置 缓冲 区 以 把 每 个 坐标 传送 给 控制 器 ， 例 如 */ 
MQ_SEND (mq_xplane, &buf[0], nbytes, 0); 
|] 
} 


9.6 CHILLIES 


本 节 给 出 CHILL 中 并 发 模型 的 一 个 简单 描述 。 CHILL 的 其 他 设施 ， 例 如 异常 处 理 模型 已 
经 讨论 过 了 。 

CHILL 的 开发 沿 着 一 条 与 Ada 相 似 的 路 线 。 然 而 ， 其 预定 应 用 领域 更 受 限制 一 电信 交换 
系统 。 虽 然 有 这 种 限制 ， 这 种 系统 具有 一 般 实 时 应 用 的 所 有 特征 : 它们 大 而 且 复杂 ， 有 规定 
的 时 间 约 束 和 高 可 靠 性 需求 。 在 20 世 纪 70 年 代 早 期 ，CCITT (Comité Casullatif International 
Télégraphique et Téléphonique) 认识 到 需要 单独 的 高 级 语言 ， 以 使 得 电信 系统 更 独立 于 硬件 
制造 商 。 到 1973 年 认定 现 有 语言 都 不 满足 其 需求 ， 并 成 立 一 个 小 组 提出 初始 语言 建议 。 这 个 
语言 在 几 个 试验 性 实现 上 使 用 ， 在 多 次 设计 迭代 后 ， 于 1979 年 秋 商 定 了 一 个 最 终 语言 建议 。 
名 字 CHILL 是 从 国际 电信 委员 会 派生 的 (Ccitt HIgh Level Language). 
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这 里 对 CHILL 并 发 模型 的 兴趣 来 自 其 实用 性 设计 。 进 程 只 能 在 最 外 层 声 明 ， 并 可 以 在 它 
们 启动 时 传递 参数 。 考 虑 前 面 给 出 的 简单 机 器 人 手臂 控制 器 。 进 程 类 型 contre1 有 一 个 参数 
是 运动 的 维 〈 即 x、y 或 z 平 面 )。 进 程 的 动作 是 为 其 动作 平面 读 一 个 新 的 位 置 ， 然 后 让 机 器 人 


THE SJ: 
newmode dimension - set (xplane, yplane, zplane); 
/* 枚 举 类 型 */ 
control = process (dim dimension); 
dcl position, setting int; /* 声明 变量 position 和 setting 为 整数 */ 305 
position := 0; 


do for ever; 
new_setting (dim, setting); 
position := position + setting; 
move_arm (dim, position); 
od; 
end control; : 
为 指出 三 个 控制 过 程 的 执行 (每 维 一 个 )， 使 用 启动 语句 : 
start control (xplane); 
start control (yplane); 
start control (zplane); 


这 将 使 三 个 无 名 进程 开始 它们 的 执行 。 如 果 想 要 标识 进程 的 每 个 实例 ， 则 给 出 独特 的 名 字 作 
为 启动 语句 的 一 部 分 (名字 是 instance 类 型 的 变量 )。 
dcl xinst, yinst, zinst instance; 


Start control (xplane) set xinst; 
start control (yplane) set yinst; 
start control (zplane) set zinst; 


进程 实例 通过 执行 stop 语 名 终止 自己 。 
CHILL 中 的 通信 

正 是 CHILL 的 通信 和 同步 机 制 才 使 它 被 看 成 是 实用 的 。 它 不 是 有 一 个 简单 的 模型 ， 而 是 
支持 三 种 不 同 的 方法 : 

1) regions (区 ) 一 一 这 些 提供 共享 变量 的 互 斥 ( 即 ， 它 们 是 管 程 ) 

2) buffers (缓冲 区 ) 一 一 使 进程 之 间 进 行 异步 通信 

3) signals (信号) 一 一 一 种 可 与 occam 机 制 相 比 较 的 通道 形式 。 

设计 这 三 种 不 同 结构 的 动机 看 来 是 因为 认为 不 可 能 有 单个 模型 在 所 有 情况 下 都 是 最 好 的 : 


一 种 通信 和 机制 不 会 在 分 布 式 结构 和 共 享 存储 体系 结构 两 种 情况 中 都 是 最 优 的 
(Smedema € , 1983), . 


区 结构 显 式 地 允许 对 其 过 程 的 访问 ， 在 区 内 events (事件 ) 可 用 来 延迟 进程 。 事 件 执行 
delay 和 continue 操 作 。 这 些 同 Modula-1 中 的 wait 和 signal 有 相似 的 语义 。 下 面 的 代码 
实现 了 一 个 简单 的 资源 控制 器 : 

resource : region 

grant allocate, deallocate; 
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syn max - 10; /* 声明 常量 */ 
decl used int := 0; 


no_resources event; 


allocate : proc; 
if used < max then 
used := used + 1; 
else 
delay (no_resource); 
fi; 
end allocate; 
deallocate : proc 
used := used - 1; 
continue (no_resource) 
end deallocate; 


end resource; 


缓冲 区 被 预定 义 有 send (put) füreceive (get) 操作 符 : 
syn size = 32; 
dcl buf buffer (size) int; /* 声明 整 型 缓冲 区 */ 


send buf (I); /* I 是 整数 */ 


sg da 3) [^ Bn] 

接收 操作 放 在 一 个 case 语 句 中 ， 因 为 一 般 来 说 ， 进程 可 能 尝试 从 一 个 以 上 的 缓冲 区 读 。 如 果 
所 有 缓冲 区 是 空 的 ， 则 进程 被 延迟 。 进 程 还 有 可 能 从 缓冲 区 读 ， 以 知道 在 缓冲 区 放置 数据 的 
那个 进程 的 名 字 。 这 在 电信 系统 中 尤为 重要 ， 那 里 必须 建立 消费 者 进程 和 生产 者 进程 之 间 的 
链 路 。 

信号 是 根据 进行 通信 的 数据 的 类 型 和 目的 进程 (类 型 ) 定义 的 : 

signal channel = (int) to consumer; 

这 里 ，consumer 是 一 个 进程 类 型 。 为 经 由 这 个 信号 传输 数据 (I)， 再 次 使 用 senad 语 句 : 


send channel (I) to con; 
其 中 con 是 类 型 consumer 的 一 个 进程 实例 。 接收 操作 使 用 case 语 句 ， 以 提供 选择 性 等 待 
(EFA). 

研究 一 下 应 用 于 CHILL 信 号 的 指名 约定 是 有 趣 的 。 发 送 操作 指出 信号 和 进程 实例 的 和 名字， 
接收 操作 只 提 到 信号 的 名 字 ， 但 它 可 以 找到 相应 进程 的 身份 。 


9.7 远程 过 程 调用 

目前 为 止 ， 本 章 集中 讨论 过 程 怎么 通信 并 同步 它们 的 活动 。 第 14 章 讨论 有 关 当 进程 驻 留 
在 由 网 络 连 接 起 来 的 不 同 机 器 上 的 实现 。 然 而 ， 为 了 完备 性 ， 这 里 介绍 远程 过 程 调 用 (RPC, 
remote procedure call) 的 概念 ， 因 为 这 是 在 分 布 式 环境 中 传送 控制 的 常用 方法 。 
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在 单 处 理 器 系统 中 ， 进 程 执行 过 程 ， 以 将 控制 从 一 段 代 码 移送 给 另 一 段 ， 只 在 它们 需要 
和 另 一 个 进程 通信 和 同步 时 ， 它 们 才 要 求 进程 间 通 信 。 远 程 过 程 调用 将 这 种 思想 扩展 ， 以 使 
一 个 进程 可 以 执行 驻 留 在 多 台 机 器 上 的 代码 。 它 们 允许 在 一 台 处 理 器 上 执行 的 一 个 进程 去 执 
行 另 一 处 理 器 上 的 过 程 ， 对 于 这 些 是 不 是 应 当 对 应 用 程序 员 透 明 ， 是 有 争议 的 ， 并 将 在 第 14 
章 讨论 。 过 程 的 执行 可 能 涉及 同 驻 留 在 远程 机 器 上 的 进程 的 通信 ， 这 是 由 共享 变量 方法 〈 例 
如 管 程 ) 或 是 通过 消息 传递 (例如 ,会 合 ) 实现 的 。 

值得 注意 的 是 ， 远 程 召 用 消息 传递 可 被 做 得 语法 上 看 起 来 像 过 程 调 用 ， 消 息 被 编码 为 输 
入 参数 ， 返 回 消 息 被 编码 为 输出 参数 (例如 ，Ada 的 入 口 和 接收 语句 )。 然 而 ， 这 种 语法 的 便 
利 可 能 会 误导 ， 因 为 远程 召 用 消息 传递 的 语义 与 过 程 调用 十 分 不 同 。 特 别 是 ， 远 程 召 用 在 执 
行 显 式 操作 方面 依赖 于 接受 者 进程 的 主动 合作 。 另 一 方面 ， 过 程 调 用 不 是 进程 间 通 信 的 形式 ， 
而 是 将 控制 移送 给 一 段 被 动 的 代码 。 当 过 程 是 本 地 的 (调用 者 和 过 程 在 同一 台 机 器 上 )， 它 们 
的 体 可 由 调用 进程 执行 ; 在 远程 过 程 调用 的 情况 下 ， 这 个 体 可 能 必须 由 在 远程 机 器 上 的 无 名 
代理 进程 代表 调用 者 执行 。 在 这 种 情况 下 ， 另 一 个 进程 的 着 人 是 一 个 实现 问题 ， 而 不 是 语义 
问题 。 为 使 远程 过 程 调用 具有 与 (可 重 入 ) 本 地 调用 相间 的 语义 ， 实 现 必须 允许 并 发 处 理 任 
意 多 个 调用 。 这 要 求 为 每 个 调用 创建 一 个 进程 /线程 ， 或 有 足够 大 的 进程 /线程 池 以 处 理 最 多 数 
量 的 并 发 调用 。 进 程 创建 或 维护 的 开销 有 时 可 能 支配 被 限制 的 并 发 程度 。 


小 结 


Ada 和 POSIX 提 供 了 消息 传递 设施 ， 它 们 还 支持 另外 的 通信 和 模式。 然而 ， 在 occam2 中 ， 进 
程 通信 的 惟一 方法 是 消息 传递 。 

基于 消息 通信 的 语义 由 三 个 问题 定义 : 

。 同步 模型 

* 进程 指名 方法 

* 消息 结构 

进程 同步 模型 的 多 样 性 来 自发 送 操作 的 语义 。 有 三 大 类 : 

。 异步 一 发 送 者 不 等 待 

。 同 步 一 -发送 者 进程 等 待 消息 被 读 走 

* 远程 召 用 一 一 发 送 者 进程 等 待 消 息 被 读 走 、 被 作用 并 生成 回复 

远程 召 用 可 被 做 得 语法 同 过 程 调 用 相似 。 当 在 分 布 式 系 统 中 使 用 远程 过 程 调用 (RPC) 
时 可 能 引起 混淆 。 然 而 ，RPC 是 一 个 实现 策略 ,远程 召 用 定义 具体 消息 传递 模型 的 语义 。 在 
这 种 通信 中 涉及 的 两 个 进程 可 能 是 在 同一 处 理 器 上 ， 也 可 能 是 分 布 式 的 ， 但 语义 是 相同 的 。 

进程 指名 包括 两 个 不 同 的 问题 ， 直 接 或 间接 的 和 对 称 性 。Ada 使 用 直接 不 对 称 指名 的 远程 
如 用 。 相 反 ，occam2 采 用 一 个 同步 间接 对 称 的 方案 。 消 息 可 用 任何 系统 定义 或 用 户 定义 类 型 
的 形式 。POSIX 支 持 异 步 对 称 方案 。 

对 于 occam2 中 两 个 进程 的 通信 ， 要 求 定义 (适当 类 型 协议 的 ) 通道 ， 并 使 用 两 个 通道 运 
算 符 ? 和 ! 。Ada 中 的 通信 要 求 一 个 任务 定义 入 口 ， 并 在 其 任务 体内 接受 任何 到 来 的 调用 。 当 
一 个 任务 调用 另 一 个 任务 中 的 入 口 并 被 接受 时 ， 就 发 生 会 合 。 在 POSIX 中 ， 通 信和 是 通过 具有 发 
送 /接受 原 语 的 消息 队列 进行 的 。occam2 支 持 一 对 一 通信 机 制 ，Ada 是 多 对 一 机 制 ， 而 POSIX 
是 多 对 多 机 制 。 
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为 了 提高 基于 消息 的 并 发 编程 语言 的 表达 能 力 ， 必 须 人 允许 进 程 在 多 个 备 选 通信 中 进行 选 
择 。 支 持 这 种 设施 的 语言 原 语 被 称 为 选择 性 等 待 。 这 里 ， 进 程 可 从 不 同 备 选中 选择 ， 对 于 任 
何 特定 执行 ， 在 这 些 备 选中 的 某 些 备 选 可 以 使 用 布尔 守备 。occam2 的 构造 称 为 ALT， 人 允许 进 
程 在 任意 多 个 守备 的 接收 操作 之 间 选 择 。Ada 提 供 相似 的 语言 特征 (选择 语句 )。 然 而 ， 它 有 
两 个 额外 的 设施 : 

1) 选择 语句 可 以 有 一 个 else 部 分 ， 如 果 在 开 备 选 上 没有 未 完成 的 调用 ， 就 执行 它 。 

2) 选择 语句 可 以 有 一 个 终止 备 选 ， 它 将 引起 执行 该 选择 语句 的 进程 终止 ， 如 果 没 有 任何 
可 以 调用 它 的 任务 仍 可 执行 的 话 。 . 

在 POSIX 中 ， 一 个 进程 或 线程 能 够 指出 ， 当 消息 队列 为 满 或 空 时 它 不 准备 阻塞 。 通 知 机 
制 被 用 于 使 操作 系统 能 向 一 个 进程 发 送 它 何 时 能 够 继续 的 信号 。 这 种 机 制 可 被 用 于 在 一 个 或 
多 个 消息 队列 上 等 待 消息 。 

Ada 的 扩展 会 合 的 一 个 重要 特征 是 它 同 异常 处 理 模型 的 合作 。 当 一 个 异常 被 引发 ， 但 在 会 
合 中 未 被 处 理 时 ， 它 就 被 传播 给 调用 任务 和 被 调用 任务 双方 。 所 以 ， 调 用 任务 必须 保护 自己 
以 防止 正在 被 生成 的 无 名 异常 (作为 发 出 消息 传递 调用 的 结果 )。 

为 了 给 出 语言 设计 的 进一步 例子 ， 给 出 了 CHILEL 的 概述 。CHILL 有 一 个 不 同 寻 常 的 实用 
设计 ， 包 括 : 

。 进 程 的 数据 初始 化 

。 进 程 名 字 

。 管 程 〈 称 为 区 ) 

。 缓 冲 区 (允许 异步 通信 ) 

。 信 号 (同步 通道 机 制 ) 
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练习 


9.1 考虑 到 Ada 支 持 保护 对 象 ，Ada 应 当 把 会 合 设施 从 语言 中 排除 中? 


92 如 时 一 个 Ada 任 务 有 两 个 人 口 点 ， 它 是 否 有 可 能 接受 等 待 最 长 时 间 的 那个 调用 任务 的 入 
口 ? 
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9.3 说 明 如 何 用 Ada 任 务 和 会 合 实现 二 元 信号 量 。 如 果 一 个 任务 在 发 出 Signal 之 前 ， 它 发 出 
waite Pik, BARRA? 

9.4 讨论 用 会 合 而 不 用 保护 对 象 实现 信号 量 的 优点 和 缺点 。 

9.5 说 明 如 何 将 Ada 任 务 和 会 合用 于 实现 Hoare 的 管 程 。 

9.6 图 9-1 表 示 occam2 中 的 一 个 进程 。 


inl outl 
in2 
out2 
in3 
Switch 
图 9-1 occam2 中 的 进程 
整数 被 接连 读 进 通道 in1，in2，in3。 进 程 在 这 些 整数 到 达 时 取 它 们 。 开 始 时 ， 所 有 输 


入 整数 被 输出 到 通道 out1。 如 果 有 输入 由 通道 Switch 进 入 ， 输 出 就 移 到 通道 0ut2。 后 续 由 
Switch 进入 的 输入 将 改变 输出 通道 。 写 一 个 实现 这 个 进程 的 occam2 PROC, 

9.7 Ada 会 合 的 哪些 方面 可 看 作 远 程 过 程 调用 ? 讨论 下 列 代码 ， 它 意 在 实现 一 个 具体 的 远程 过 
程 。 研究 被 调用 过 程 和 调用 任务 的 含义 这 两 个 方面 。 


task type Rpc Implementation is 

entry Rpc (Paraml : Typel; Param2 : Type2); 
end Rpc Implementation; 
task body Rpc Implementation is 
begin 

accept Rpc (Paraml : Typel; Param2 : Type2) do 

-- 过 程 的 体 

end Rpc; 
end Rpc_Implementation; 
-- 声明 1000 个 Rpc_Implementation 任 务 的 数组 í 
Concurrent Rpc : array (1..1000) of Rpc Implementation; 


9.8 使 用 (a) Ada 任 务 和 会 合 以 及 .(b) occam2 进 程 同 步 的 通道 完成 练习 7.8。 

9.9 使 用 POSIX 消 息 队列 ， 重 做 练习 9.6。 —— 

” 9.0 考虑 一 个 Ada 系 统 ， 其 中 有 三 个 抽烟 人 任务 和 一 个 代理 任务 。 每 个 抽烟 人 连续 地 卷烟 并 抽 
烟 。 卷 一 支 烟 ， 需 要 三 种 材料 ， 即 烟草 ， 烟 和 火柴 。 一 个 抽烟 人 任务 有 无 限 多 的 纸 ， 另 
一 个 有 无 限 多 的 烟草 , 第 3 个 有 无 限 多 的 火柴 。 代 理 任务 保证 三 种 材料 都 是 无 限 多 。 每 个 
抽烟 人 必须 与 代理 任务 通信 得 到 他 们 没有 的 两 种 材料 。 

代理 任务 的 规格 说 明 如 下 : 


task Agent is 
entry Give Matches (...); 
entry Give Paper (...); 
entry Give Tobacco (...); 
entry Cigarette Finished; 
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end Agent; 

Agent 任 务 体 随 机 选择 两 种 材料 ， 然 后 接受 在 相关 人 口上 的 通信 ， 以 将 材料 传送 给 抽 
烟 人 。 一 旦 将 两 种 材料 都 传送 了 ， 它 就 在 重复 循环 之 前 在 Cigarette_Finished 入 口上 
等 待 。 一 个 抽烟 人 接收 到 所 需 材料 后 ， 卷 出 一 支 烟 并 抽 这 支 烟 ， 通 过 调用 cigarette_ 
Finished 人 和 人口 表 示 完 结 ， 再 请 求 新 的 材料 。 

勾画 出 三 个 抽烟 人 任务 的 规格 说 明和 体 以 及 代理 任务 的 任务 体 ， 如 果 有 必要 ， 为 Agent 
任务 的 和 人口 规格 说 明 加 上 参数。 该 解决 方案 应 当 无 死 锁 。 

一 个 服务 器 任务 有 下 面 的 Ada 规 格 说 明 : 


task Server is 


9. 


-— 
p 


entry Service_A; 

entry Service_B; 

entry Service_C; 
end Server; 


写 出 任务 Server 的 体 ， 使 之 能 完成 所 有 下 列 操作 。 

“如 果 客 户 任务 在 所 有 人 口 等 待 ， 这 个 任务 应 当 以 循环 的 次 序 为 客户 服务 ， 即 首先 接收 
Service A 入口， 然后 是 Service_B 入 口 ， 然 后 是 Service_C 人 个 、Service AA 
口 等 等 。 

* 如 果 不 是 所 有 入 口 都 有 客户 任务 等 待 ，Server 应 当 以 循环 次 序 为 其 他 入 口服 务 。 
Servez 任 务 不 应 被 阻塞 ， 如 果 有 客户 仍 在 等 待 服务 的 话 。 

“如 果 Servez 任 务 没 有 等 待 的 客户 ， 那 么 它 不 应 当 忙碌 等 待 ; 它 应 当 阻塞 ， 等 待 客户 发 
出 的 请 求 。 

* 所 有 可 能 的 客户 都 终止 了 ，Server 应 当 终 止 。 

假设 客户 任务 不 被 中 止 ， 并 且 只 发 出 简单 的 入 口 调用 。 

9.12 一 个 occam2 服 务 器 进程 在 下 列 通 道上 接收 同步 消息 。 


CHAN OF INT ServiceA, ServiceB, ServiceC; 


写 出 此 服务 器 进程 的 体 ， 使 它 能 完成 下 列 所 有 操作 。 

“如 果 客 户 进程 在 所 有 通道 上 等 待 ， 这 个 服务 器 应 当 以 循环 的 次 序 为 客户 服务 ， 即 首先 是 
ServiceA 请 求 ， 然 后 是 ServiceB 请 求 ， 然后 是 Servicec 请 求 ， 然后 又 是 ServiceaA 
请 求 等 等 。 

* 如 果 不 是 所 有 通道 都 有 客户 进程 等 待 ， 服务 器 应 当 以 循环 次 序 为 其 他 通道 服务 。 服 务 器 
不 应 被 阻塞 ， 如 果 有 客户 仍 在 等 待 服务 的 话 。 

“如果 服务 器 进程 没有 等 待 的 客户 ， 那么 它 不 应 当 忙碌 等 待 ; 它 应 当 阻塞 ， 等 待 客户 发 出 
的 请 求 。 

9:13 PRR Ada ta sit — shh Ze . 这 个 服务 可 能 引发 异常 A、 B, CHD, 

package Server is 
A, B, C, D: exception; 
procedure Service; -- 可 能 引发 A,B, C, D 

end Server; 


在 下 列 过 程 中 创建 了 两 个 任务 ， 任务 one 和 任务 Two 会 合 。 在 会 合 期 间 ， 任务 Two 调 
用 服务 器 包 提供 的 Service。 
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with Server; use Server; 

with Ada.Text Io; use Ada.Text Io; 
procedure Main is 

task One; 


task Two is 
entry Sync; 
end Two; 


task body One is 
begin 
Two.Sync; 
exception 
when A -» 
Put Line ("A trapped in one"); 
raise; 
when B => 
Put Line ("B trapped in one"); 
raise C; 
when C => 
Put Line ("C trapped in one"); 
when D => 
Put Line ("D trapped in one"); 
end; 


task body Two is 
begin -- 块 X 
begin -- 块 Y 
begin -- iz 
accept Sync do 
begin 
Service; 
exception 
when A => 
Put_Line ("A trapped in sync"); 
when B => 
Put_Line ("B trapped in sync"); 
raise; 
when C => 
Put_Line ("C trapped in sync"); 
raise D; 
end; 
end Sync; 
exception 
when A => 
Put Line ("A trapped in block 2"); 
when B => 
Put Line ("B trapped in block 2"); 
raise C; 
when others => 


Put_Line ("others trapped in z"); 
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raise C; 
end; -- H zZ 
exception 
when C => 
Put Line ("C trapped in Y"); 
when others => 
Put Line ("others trapped in Y"); 
raise C; 
end; --it Y 
exception 
when A => 
Put Line ("A trapped in X"); 
when others => 
Put Line ("others trapped in X"); 
end; -- ik X fn 任务 TWO 


begin -- 过 程 main 
null; 


exception 
when A = > 
Put_Line ("A trapped in main"); 
when B = > 
Put_Line ("B trapped in main"); 
when C = > 
Put_Line ("C trapped in main"); 
when D => 
Put_Line ("D trapped in main"); 


end Main; 


过 程 Put_Line 在 包 Text_Io 中 声明 ， 在 被 调用 时 ， 在 终端 上 打印 出 它 的 变 元 。 


如 果 过 程 service 中 发 生 了 下 面 的 事 ， 将 会 输出 什么 ? 
(1) 引发 异常 A。 
(2) 引发 异常 B。 
(3) 引发 异常 C。 
(4) 引发 异常 D。 
假设 输出 不 会 受 对 Put_Line 的 并 发 调用 的 影响 。 
9.14 考虑 下 面 的 occam2 程序 段 。 
INT Number.Of.Procs is 10: 
-- 需要 的 其 他 声明 


PROC Controller 
-- 过 程 Controller 的 代码 


PROC Stop.Go (VAL INT Id) 
-~ 过 程 的 代码 


PAR 
PAR i = 0 FOR Number .Of.Procs 
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SEQ 
-- 用 户 进程 代码 的 A 部 分 
Stop.Go (i); 
~~ 用 户 进程 代码 的 B 部 分 
Controller 
这 会 产生 10 个 进程 (它们 都 执行 其 A 部 分 代码 ， 然 后 调用 过 程 Stop .Go， 再 执行 其 B 
部 分 代码 ) 和 Controller 进 程 。Stop .Go 和 Controller 过 程 的 目标 是 确保 在 B 部 分 
的 任何 执行 之 前 至 少 6 个 用 户 进程 执行 它们 的 A 部 分 。 315 
说 明 如 何 才能 实现 Stop .Go 和 Controller 过 程 。 如 果 需 要 ，3 引 人 另外 的 声明 。 316 





第 10 章 原子 动作 、 并 发 进程 和 可 靠 性 





10.1 原子 动作 10.7 实时 Java 中 的 异步 事件 处 理 
10.2 并 发 语言 中 的 原子 动作 10.8 Ada 中 的 异步 控制 转移 
10.3 原子 动作 和 向 后 出 错 恢复 10.9 实时 Java 中 的 异步 榨 制 转移 
10.4 原子 动作 和 向 前 出 错 恢复 小 结 

10.5 异步 通知 相关 阅读 材料 

10.6 POSIX 信 号 练习 


第 5 章 讨 论 了 怎样 在 出 现 各 种 错误 的 情况 下 生产 可 靠 的 软件 。 模 块 分 解 和 原子 动作 作为 两 
种 基本 的 技术 用 来 进行 损害 隔离 和 评估 。 此 外 ， 介 绍 作为 动态 出 错 恢复 方法 的 向 前 和 向 后 出 
错 恢复 的 概念 。 已 经 证 明 ， 只 要 进程 进行 通信 、 同 步 它们 的 活动 ， 向 后 出 错 恢复 就 可 能 导致 
多 米 诺 效 应 。 在 第 6 章 中 ， 将 异常 处 理 作 为 一 种 在 顺序 进程 中 提供 向 前 和 向 后 出 错 恢复 的 机 制 
进行 过 讨论 。 第 7、8 和 9 章 研究 了 操作 系统 和 实时 语言 为 并 发 编程 提供 的 设施 。 本 章 把 异常 处 
理 和 并 发 性 结合 在 一 起 讨论 ， 以 说 明 进 程 之 间 如 何在 其 他 进程 出 现 和 故障 出 现 的 情况 下 可 靠 
地 进行 交互 。 本 章 还 更 细致 地 探讨 了 原子 动作 的 概念 ， 对 异步 事件 和 异步 控制 转移 的 概念 也 
作 了 介绍 。 


合作 和 竞争 进程 


在 第 7 章 ， 根 据 进程 之 间 的 以 下 三 种 行为 ， 描 述 了 它们 之 间 的 交互 : 

* 独立 性 

* 合作 性 

“竞争 性 

独立 进程 之 间 不 进行 通信 或 同步 。 因 此 ， 如 果 一 个 进程 内 出 现 错误 ， 那 个 进程 可 以 启动 
恢复 过 程 ， 而 与 系统 其 他 部 分 隔离 。 可 以 使 用 在 第 5 章 和 第 6 章 描述 的 恢复 块 和 异常 处 理 。 

与 独立 进程 相 比 ， 合 作 进程 为 了 执行 共同 的 操作 而 有 规律 地 通信 并 同步 它们 的 活动 。 如 果 
有 出 错 情况 发 生 ， 所 有 相关 的 进程 都 必须 执行 出 错 恢复 。 这 种 出 错 恢复 的 编程 是 本 章 的 主题 。 

竞争 进程 为 了 得 到 资源 而 进行 通信 和 同步 ， 然 而 ， 它 们 本 质 上 是 独立 的 。 一 个 进程 内 的 
出 错 不 应 影响 别 的 进程 。 令 人 遗憾 的 是 ， 情 况 并 不 总 是 这 样 ， 区 其 是 出 错 发 生 在 一 个 进程 正 
在 被 分 配 资源 的 时 候 。 资 源 的 可 靠 分 配 将 在 第 11 章 研究 。 

只要 合作 进程 通过 共享 资源 进行 通信 和 同步， 恢复 就 可 能 涉及 到 资源 自身 。 资源 分 配 的 
这 个 方面 也 将 在 第 11 章 讲述 。 : 


10.1 原子 动作 | 
将 并 发 进程 引入 一 门 语言 的 主要 动机 之 一 是 它们 使 现实 世界 中 的 并 行 性 能 在 应 用 程序 中 


w 
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得 到 反映 。 并 发 进程 的 引入 使 得 能 以 更 自然 的 方式 表达 这 种 程序 ， 产 生 更 可 靠 和 更 易 维 护 的 
系统 。 然 而 令 人 失望 的 是 ,并 发 进程 产生 了 许多 在 纯 顺 序 程序 中 不 存在 的 新 间 题 。 因 此 ， 后 
面 几 章 致力 于 讨论 这 些 问 题 的 解决 方案 : 尤其 是 〈 正 确 地 ) 使 用 共享 变量 和 消息 传递 的 进程 
之 间 的 通信 和 同步 。 这 是 用 一 种 相当 孤立 的 方式 进行 的 ， 还 没有 考虑 如 何 将 一 组 并 发 进程 结 
构 化 、 使 之 协调 它们 的 活动 这 种 方式 。 

到 目前 为 止 ， 两 个 进程 间 的 交互 用 单个 的 通信 表达 。 然 而， 现实 生活 中 却 并 不 总 是 这 样 。 
例如 ， 从 银行 账户 中 提 款 可 能 涉及 到 一 个 分 类 账 进程 和 一 个 支付 进程 ， 它 们 之 间 一 系列 的 通 
信和 验证 提 款 人 、 检 查账 目 是 否 平衡 和 付款 。 此 外 ， 有 可 能 需要 两 个 以 上 进程 用 这 种 方式 交互 ， 
以 执行 所 需 的 动作 。 在 所 有 这 种 情形 中 ， 使 所 有 涉及 的 进程 看 到 一 个 一 致 的 系统 状态 是 绝对 
必要 的 。 对 并 发 进程 而 言 ， 很 容易 在 一 组 进程 之 间 发 生 相互 干扰 。 

一 组 进程 执行 共同 活动 需要 的 是 不 可 分 的 动作 或 原子 动作 。 当 然 ， 一 个 单独 的 进程 也 可 


l 能 需要 保护 自己 免 受 其 他 进程 的 干扰 (例如 ， 在 资源 分 配 时 )。 由 此 可 见 ， 一 个 原子 动作 可 能 


涉及 一 个 或 多 个 进程 。 原 子 动作 也 被 称 为 “多 方 ”( multiparty) XH. (Evangelist, 1989; 
Yuh-Jzer and Smolka, 1996), 

有 几 种 几乎 等 价 的 方式 表达 原子 动作 的 特性 (Lomet, 1977; Randell4&&, 1978). 

1) 一 个 动作 是 原子 的 ， 如 果 执 行 这 个 动作 的 进程 在 执行 这 个 动作 期 间 没 有 感知 到 别 的 活 
动 进程 的 存在 ， 并 且 别 的 活动 进程 也 没有 感知 此 进程 的 活动 。 

2) 一 个 动作 是 原子 的 ， 如 果 在 动作 执行 时 ， 执 行 这 个 动作 的 进程 不 与 别 的 进程 通信 。 

3) 一 个 动作 是 原子 的 ， 如 果 执 行动 作 的 进程 除了 它们 自己 改变 的 状态 ， 检 测 不 到 任何 状 
态 改变 ， 并 且 直 到 动作 执行 完成 它们 才 发 现 它们 的 状态 的 改变 。 

4) 动作 是 原子 的 ， 如 果 它 们 对 其 他 进程 而 言 是 不 可 分 的 和 瞬时 的 ， 使 得 对 系统 产生 的 影 
响 就 像 是 它们 被 穿插 执行 的 而 不 是 并 发 执行 。 

上 上面 的 定义 并 不 完全 相同 。 例 如 第 二 个 表述 : 一 个 动作 是 原子 的 ， 如 果 执 行动 作 的 进程 
只 在 它们 之 间 进 行 通信 ， 而 不 与 系统 中 别 的 进程 通信 。 与 其 余 的 三 个 定义 不 同 ， 这 旬 话 没有 
真正 定义 原子 动作 的 本 质 。 虽 然 它 保证 原子 动作 是 不 可 分 的 ， 却 对 进程 有 很 强 的 约束 。 一 个 
原子 动作 与 系统 其 余部 分 之 间 的 交互 是 允许 的 ， 只 要 这 些 交 互 不 影响 原子 动作 的 活动 ， 并 且 
不 向 系统 其 余部 分 提供 任何 有 关 该 动作 进展 的 信息 (Anderson and Lee，1990)。 通常 ， 为 了 
多 许 这 些 交 互 ， 需 要 有 原子 动作 的 功能 和 原子 动作 与 系统 其 余部 分 之 间接 口 的 知识 。 因 为 一 
般 的 语言 实现 并 不 支持 这 个 要 求 ， 按 Anderson 和 Lee (1990) 的 说 法 ， 采 用 更 严格 的 (第 一 
T) 定义 就 有 吸引 力 了 。 然 而 ， 这 一 点 要 求 仅 在 下 列 情况 下 可 以 得 到 满足 ; 完成 一 个 原子 动 
作 所 需要 的 资源 是 通过 底层 实现 得 到 ， 而 不 是 通过 程序 里 的 指令 得 到 。 如 果 只 当 程 序 员 乐 意 
的 时 候 资 源 才能 获得 和 释放 ， 原 子 动作 里 面 的 进程 将 不 得 不 和 通用 资源 管理 器 通信 。 

虽然 一 个 原子 动作 被 看 作 是 不 可 分 的 ， 它 仍 可 能 有 内 部 结构 。 为 了 多 许 原子 动作 的 模块 
PA, SIA TIREE (nested atomic action) 的 概念 。 做 套 原子 动作 涉及 的 进程 _ 定 是 


.更 外 层 动作 涉及 进程 的 了 集合。 否则 ， 嵌 套 原子 动作 就 能 窃取 有 关外 层 动作 的 信息 给 外 部 的 


进程 。 外 层 动作 因此 不 再 是 不 可 分 的 。 
10.1.1 两 阶段 原子 动作 


理 琅 稍 况 下 ， 原 子 动作 里 面 涉及 的 所 有 进程 应 该 在 原子 动作 开始 之 前 就 得 到 (在 动作 持 
DOMIN) 所 需 的 资源 。 在 原子 动作 终止 之 后 ， 这 些 资源 才 被 释放 。 如 果 上 述 规则 得 到 遵守 
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原子 动作 就 不 需要 和 外 部 实体 交互 ， 并 且 能 采用 更 严格 的 原子 动作 的 定义 。 

遗憾 的 是 ， 这 种 理想 想法 导致 资源 利用 率 低下 ， 因 此 需要 一 种 更 实用 的 方法 。 首 先 ， 必 
须 人 允许 原子 动作 在 没有 得 到 全 套 资源 的 情况 下 也 能 开始 执行 。 在 某 些 点 上 ， 原 子 动作 内 的 进 
程 将 请 求 资源 分 配 ， 于 是 该 原子 动作 必须 和 资源 管理 器 通信 。 资 源 管理 器 可 能 是 一 个 服务 器 
进程 。 如 果 采 用 原子 动作 的 严格 定义 ， 这 个 服务 器 可 能 不 得 不 成 为 原子 动作 的 一 部 分 ， 并 产 
生 把 涉及 服务 器 的 所 有 原子 动作 串 行 化 的 效果 。 显 然 ， 这 不 是 我 们 期 望 的 ， 因 此 允许 原子 动 
作 与 资源 服务 器 进行 外 部 的 通信 。 

在 这 个 上 下 文 里 面 ， 资 源 服务 器 定义 为 一 个 非 共 享 系统 实用 程序 的 监管 者 。 它 保护 这 些 
实用 程序 ， 防 止 对 它们 的 不 适当 访问 ， 但 资源 服务 器 本 身 并 不 对 这 些 程序 执行 操作 。 

如 果 人 允许 进程 在 相关 的 原子 动作 完成 之 前 就 释放 资源 ， 就 能 在 资源 分 配方 面 做 进一步 的 
改善 。 为 了 使 资源 的 提前 释放 有 意义 ， 就 必须 使 提前 释放 的 资源 的 状态 与 直到 原子 动作 执行 
完毕 后 才 释放 的 资源 的 状态 相同 。 显 然 ， 提 前 释放 将 增强 整个 系统 的 并 发 性 。 

如 果 资 源 推迟 得 到 和 提前 释放 ， 提 前 释放 的 资源 就 可 能 影响 外 部 状态 的 改变 ， 并 观察 到 
新 资源 的 获取 。 这 将 破坏 原子 动作 的 定义 。 必 须 遵守 的 原则 是 ， 资 源 使 用 的 惟一 安全 策略 有 
两 个 不 同 的 阶段 。 在 第 一 步 的 “成 长 ”阶段 ， 可 以 (仅仅 ) 申请 资源 ; 在 随后 的 “收缩 ” 阶 
段 ， 可 以 释放 资源 (但 不 允许 新 的 资源 分 配 )。 使 用 这 种 结构 ， 确 保 了 原子 动作 的 完整 性 。 然 
而 ， 应 该 注意 到 的 是 ， 如 果 资 源 过 早 释 放 ， 当 原子 动作 失效 时 就 更 难 恢复 。 这 是 因为 资源 已 
经 更 新 ， 而 另 一 个 进程 可 能 观察 到 了 此 资源 的 新 状态 。 任 何在 别 的 进程 里 引发 恢复 的 尝试 都 
可 能 导致 多 米 诺 效应 ( 见 5.5.3 节 )。 

在 随后 的 所 有 讨论 里 ， 假 设 原子 动作 是 两 阶段 的 ， 直 到 动作 成 功 完成 ， 可 恢复 动作 才 释 
放 资 源 。 

10.1.2 原子 事务 

在 操作 系统 和 数据 库 理论 里 ， 经 常 使 用 原子 事务 这 个 术语 。 原 子 事务 除了 有 原子 动作 的 
所 有 特性 外 ， 还 有 它 自己 的 特点 : 原子 事务 的 执行 允许 成 功 或 失败 。 如 果 失 败 ， 就 意味 着 发 
生 了 事务 不 能 恢复 的 错误 ， 例 如 ， 处 理 器 失效 。 如 果 一 个 原子 动作 失败 ， 那 么 它 操 纵 的 系统 
部 件 就 可 能 处 于 不 一 致 的 状态 。 在 原子 事务 中 ， 不 可 能 出 现 这 种 错误 ， 因 为 部 件 返回 到 它们 
的 初始 状态 (就 是 事务 开始 之 前 它们 所 处 的 状态 )。 原 子 事务 有 时 称 作 可 恢复 动作 ， 不 过 ， 术 
语 原子 动作 和 原子 事务 经 常 被 互 换 地 使 用 。 

原子 事务 的 两 个 与 众 不 同 的 特点 是 : 

“失败 原子 性 ， 意 思 是 事务 要 么 完全 成 功 ， 要 么 (在 失败 的 情况 下 ) 无 任何 作用 。 

“同步 原子 性 (或 隔离 ) ， 意 思 是 事务 是 不 可 分 的 。 即 它 的 部 分 执行 不 可 能 被 任何 并 发 执 

行 的 事务 观察 到 。 

虽然 原子 事务 适宜 于 管理 数据 库 的 应 用 ， 但 是 它们 本 质 上 不 适合 于 编写 容错 系统 。 这 是 
因为 它们 隐 含 要 求 系统 提供 某 种 形式 的 恢复 机 制 。 应 该 修改 这 种 机 制 ， 因 为 它 使 程序 员 不 能 
控制 原子 事务 的 操作 。 虽 然 原子 事务 提供 向 后 出 错 恢复 的 一 种 形式 ， 但 它们 不 允许 执行 恢复 
过 程 。 虽 然 如 此 ， 原 子 事务 仍 在 保护 实时 数据 库 系统 的 完整 性 方面 拥有 一 席 之 地 。 

原子 事务 将 在 第 14 章 的 分 布 式 系统 和 处 理 器 失效 中 再 次 研究 。 

10.1.3 对 原子 动作 的 需求 


如 果 一 种 实时 编程 语言 准备 支持 原子 动作 ， 它 就 必须 能 够 表达 实现 原子 动作 的 必要 需求 。 
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这 些 需 求 和 进程 的 概念 以 及 编程 语言 提供 的 进程 间 通 信 形 式 无 关 。 它 们 是 : 
“定义 良好 的 边界 
每 个 原子 动作 应 该 有 开始 边界 、 结 束 边界 和 侧面 边界 : 开始 边界 是 原子 动作 内 所 涉及 的 
每 个 进程 中 的 一 个 位 置 ， 准 备 在 这 个 位 置 开 始 这 个 动作 。 结 束 边 界 是 原子 动作 内 所 涉及 
的 每 个 进程 中 的 一 个 位 置 ， 准 备 在 这 个 位 置 结束 这 个 动作 。 侧 面 边界 把 原子 动作 涉及 的 
进程 与 系统 的 其 他 部 分 隔离 开 。 
“不 可 分 性 (隔离 ) 
原子 动作 不 允许 在 原子 动作 内 的 活动 进程 和 外 界 的 进程 (资源 管理 器 除外 ) 进行 信息 交 
换 。 如 果 两 个 原子 动作 共享 某 个 数据 ， 那 么 这 个 数据 在 执行 原子 动作 之 后 的 值 由 按 某 种 
次 序 的 这 两 个 原子 动作 的 严格 顺序 决定 。 原 子 动作 开始 时 没有 隐 含 的 同步 。 进 程 能 在 不 
321 同时 间 进 入 。 然而， 原子 动作 结束 时 却 有 隐 含 的 同步 ， 直 到 所 有 的 进程 愿意 并 能 够 离开 
原子 动作 才 允 许 进程 离开 原子 动作 。 
-RE 
REOETARE, RECREERE. MA, BRACE RARE (如 果 二 种 结 
MITER Ere A "MEM, ARRE REN). 
“并 发 性 
应 当 可 能 并 发 地 执行 不 同 的 原子 动作 。 增 强 不 可 分 性 的 方法 之 一 是 顺序 执行 原子 动作 
然而 ， 这 可 能 严重 影响 整个 系统 的 性 能 ， 所 以 应 该 避免 顺序 执行 。 不 过 ， 并 发 执行 原子 
动作 集合 产生 的 整体 效果 必须 和 顺序 执行 这 些 原子 动作 获得 的 一 样 。 
* 由 于 目的 是 原子 动作 应 当 作 为 损害 隔离 的 基础 ， 所 以 它们 必须 能 够 将 恢复 过 程 编程 。 
图 10-1 用 图 形 表示 了 由 6 个 进程 组 成 的 系统 中 嵌 套 原子 动作 的 边界 。 动 作 B 只 涉及 P3 和 P4 
而 动作 A 还 包括 P2 和 P5。 其 余 的 进程 (P1 和 P6) 在 这 两 个 原子 动作 之 外 。 


P1 P2 P3 P4 P5 P6 


时 间 





i 
i 
i 
| 
l 
| 
| 
i 
| 
| 
1 
| 
i 
| 
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图 10-1 REKTE 


也 许 在 这 里 应 该 注意 的 是 ， 原 子 动作 的 某 些 定义 要 求 所 有 的 进程 在 原子 动作 的 大 口 和 出 
口 处 都 同步 。 


10.2 并 发 语言 中 的 原子 动作 


原子 动作 为 大 型 嵌入 式 系统 的 软件 提供 了 结构 支持 。 为 了 充分 利用 这 种 支持 的 好 处 ， 还 
要 求 有 实时 语言 的 支持 。 遗 憾 的 是 ， 没 有 任何 一 个 主要 语言 提供 这 种 支持 。 本 节 研 究 在 第 8 章 
和 第 9 章 讨论 过 的 各 种 同步 和 通信 原 语 对 原子 动作 编程 的 适宜 性 。 紧 接着 ;给 出 一 个 可 行 的 语 
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言 框架 ， 然 后 扩展 这 个 框架 以 提供 向 前 和 疝 后 出 错 恢复 。 

资源 分 配 问 题 放 到 第 11 章 讨论 。 就 现在 而 言 ， 假 定 有 两 种 资源 使 用 模式 : 共享 的 和 非 共 
享 的 ， 某 些 资源 两 种 模式 都 应 适合 。 此 外 ， 假 定 所 有 的 动作 是 两 阶段 的 ， 并 且 资 源 管理 器 将 
确保 对 资源 的 合理 使 用 。 原 子 动作 内 的 进程 还 同步 它们 之 间 对 资源 的 访问 ， 以 避免 产生 干扰 。 
10.2.1 信号 量 

单个 进程 执行 的 一 个 原子 动作 可 以 用 二 元 信号 量 的 简单 互 斥 来 实现 。 

wait (五 斥 信 和 号 量 ); 

原子 动作 ; 

signal ( 互 斥 信号 量 ) ; 

然而 ， 当 原子 动作 涉及 一 个 以 上 的 进程 时 ， 这 种 “信号 量 ” 解 决 方案 很 复杂 。 例 如 ， 考 虑 
一 个 需要 由 两 个 进程 操纵 的 非 共享 资源 。 下 面 的 代码 说 明 进 程 P1 和 P2 怎 样 实现 这 种 资源 操纵 ， 
同时 又 避免 来 自 别 的 进程 的 和 干扰。 信号 量 atomic_action_begin1 和 atomic_action 
begin2 仅 允许 两 个 进程 进入 原子 动作 。 其 余 的 进程 则 被 阻塞 。 另 外 两 个 信号 量 atomic 
action_end1 和 atomic_action_end2， 用 来 保证 任何 一 个 进程 都 不 能 离开 原子 动作 ， 直 
到 另 一 个 进程 也 准备 离开 。 上 应 该 注意 的 是 ， 还 需要 另外 的 信号 量 控制 对 共享 资源 的 访问 (并 
且 首 先 分 配 资源 )。 

atomic_action_beginl, atomic_action_begin2 : semaphore := 1; 

atomic action endl, atomic action end2 : semaphore := 0; 


procedure code for first process is 
begin 

-- 启动 原子 动作 

wait (atomic_action_beginl); 
~ 获得 非 共享 模式 的 资源 
~~ 更 新 资源 
-~ 发 信号 给 第 二 个 进程 ， 可 以 访问 资源 了 
~~ 可 能 有 的 最 后 处 理 


wait (atomic_action_end2); 

-- 返回 资源 

signal (atomic_action_endl); 

signal (atomic_action_beginl); 
end code for first process; 


Procedure code for second process is 
begin 
-~ 启动 原子 动作 
wait (atomic action begin2); 
-- 初始 处 理 
-- 等 待 第 一 个 进程 发 信号 说 可 以 访问 资源 了 
-- 访问 资源 
signal (atomic action end2); 
wait (atomic action endl); 


signal (atomic action begin2); 
end code for second process; 
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这 种 结构 提供 了 必要 的 保护 ， 并 且 再 次 说 明了 信号 量 能 用 来 编程 大 多 数 同步 问题 ， 遗 憾 
的 是 ， 这 种 方法 有 几 个 缺点 。 首 先 ， 虽然 只 允许 两 个 进程 进入 原子 动作 ， 但 并 不 保证 它们 是 
那 两 个 正确 的 进程 。 其 次 ,我 们 已 在 前 面 的 章节 批评 了 信和 号 量 的 使 用 ， 因 为 信号 量 是 易 出 错 
的 ， 没 有 保护 的 单个 访问 (更 确切 地 说 ， 省 去 wait-signal 结 构 ) 将 破坏 原子 性 。 最 后 ， 将 这 个 
解决 方案 扩展 到 N 个 进程 将 变 得 更 复杂 ， 因 此 更 容易 出 错 。 

10.2.2 管 程 l 

通过 把 原子 动作 封装 在 管 程 里 面 ， 就 更 容易 确保 原子 动作 的 部 分 执行 的 不 可 见 性 。 上 面 
的 例子 用 管 程 实现 后 的 情况 如 下 所 示 。 每 个 过 程 开始 处 的 if 语句 保证 只 有 一 个 进程 进行 访问 。 
然后 条 件 变量 提供 原子 动作 内 的 正确 同步 。 

然而 ， 这 种 解决 方案 存在 两 个 问题 。 两 个 进程 不 可 能 在 管 程 内 同时 处 于 活动 状态 。 经 党 
是 限制 太 多 ， 这 是 不 必要 的 。 此 外 ， 媒 套 原子 动作 实现 和 资源 分 配 将 需要 人 典 套 的 管 程 调用 。 
与 嵌 套 管 程 调用 相关 的 困难 已 在 8.6.4 节 讨论 过 。 执 行 娱 套 管 程 调用 时 ， 对 管 程 锁 的 维护 工作 
可 能 不 必要 地 延迟 试图 在 外 层 原 子 动作 里 面 执行 的 进程 。 

monitor atomic action 

sport code for first process, code for second process; 


first process active : boolean :- false; 

second process active : boolean :- false; 

first process finished : boolean :- false; 

second process finished : boolean :- false; 

no first process, no second process : condition; 
atomic action endsl, atomic action ends2 : condition; 


procedure code for first process 
begin 
if first process active then 
wait (no first process); 


first process active :- true; 
-- 以 非 共 享 模式 取得 资源 
-- 更 新 资源 
-- 发 信号 给 第 二 个 进程 : 可 以 访问 资源 了 
-- 任何 最 后 的 处 理 


if not second process finished then 
wait (atomic action end2); 

first process finished :- true; 

-- 释放 资源 

signal (atomic action endl); 

first process active :- false; 

signal (no first process); 

end; 


procedure code for second process 
begin 
if second process active then 
wait (no second process); 
second process active := true; 


-- 初始 处 理 
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-- 等 待 第 一 个 进程 发 信号 说 可 以 访问 资源 了 
-- 访问 资源 
signal (atomic action end2); 
Second process finished := true; 
if not first process finished then 
wait (atomic action endl); 
Second process active :- false; 
signal (no second process); 
end; 


通过 把 管 程 作为 “动作 控制 器 ” ， 并 且 在 管 程 之 外 执行 原子 动作 ， 就 可 以 去 掉 上 述 解决 方 
案 的 许多 限制 。 下 面 给 出 的 Ada 模 型 就 采用 了 这 种 方法 。 
10.2.3 用 Ada 实 现 原子 动作 


对 于 通信 和 同步 原 语 只 是 基于 消息 传递 的 语言 ， 如 果 没有 共享 变量 并 且 在 动作 执行 期 间 
WR AUTRE. RURERIRHAGUIHIRIEI RAN. 例如 ， 在 Ada 中 的 扩展 会 合 设计 得 可 
以 为 普通 形式 的 原子 动作 编程 。 一 个 任务 为 了 请 求 计算 而 与 别 的 任务 通信 就 是 这 种 情形 ， 被 
调用 的 任务 承担 计算 工作 ， 然 后 通过 会 合 的 输出 参数 回复 。 原 子 动作 采用 接受 语句 的 形式 ， 
它 具 有 同步 原子 性 ， 只 要 : 

* 它 不 更 新 别 的 任务 可 以 访问 的 任何 变量 ， 并 且 

* 它 不 和 任何 别 的 任务 会 合 

三 个 任务 使 用 的 一 个 Ada 原 子 动作 可 以 用 嵌 套 会 合 编写 ， 然 而 ， 这 将 不 允许 在 原子 动作 里 
面 有 任何 并 行 性 。 

一 个 替代 的 模型 是 创建 一 个 动作 控制 器 ， 并 且 编 写 必要 的 同步 。 下 面 是 使 用 这 种 控制 器 
的 保护 对 象 所 采用 的 方法 。 


package Action X is 
procedure Code For First Task (-- 参 数 ); 
procedure Code For Second Task (-- 参 数 ); 
procedure Code For Third Task (-- 参 数 ) ; 
end Action X; 


package body Action X is 
protected Action Controller is 
entry First; 
entry Second; 
entry Third; 
entry Finished; 
private 
First Here : Boolean :- False; 
Second Here : Boolean :- False; 
Third Here : Boolean :- False; 
Release : Boolean := False; 
end Action Controller; 


protected body Action Controller is 
entry First when not First Here is 
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begin 
First Here : - True; 
end First; 


entry Second when not Second Here is 
begin 

Second Here :- True; 
end Second; 


entry Third when not Third Here is 
begin 

Third Here :- True; 
end Third; 


entry Finished when Release or Finished' Count - 3 is 
begin 
if Finished' Count - 0 then 
Release :- False; 
First Here :- False; 


Second Here :- False; 
Third Here :- False; 
else 


Release :- True; 
end if; 
end Finished; 
end Action Controiler; 
procedure Code For First Task (-- 参 数 ) is 
begin 
Action Controller.First; 
-- 获取 资源 
-- 动作 本 身 ， 通 过 资源 同 在 此 动作 内 的 正在 执行 的 任务 通信 
Action_Controller.Finished; 
-- 释放 资源 


end Code For First Task; 


-- 第 二 个 和 第 三 个 任务 类 似 
begin 
-- 局 部 资源 的 初始 化 
end Action X; 
在 上 面 的 例子 中 ， 用 保护 对 象 Action_controller 对 动作 进行 同步 。 这 使 得 在 任何 时 候 在 原 
子 动作 内 只 有 三 个 任务 是 活动 的 ， 并 且 它 们 在 出 口 处 被 同步 。 布尔 变量 Release 用 来 编写 
Finished 上 所 需 的 释放 条 件 。 因 为 屏障 表达 式 的 两 部 分 都 为 假 ， 对 Finished 的 头 两 次 调用 
将 被 阻塞 。 当 第 三 次 调用 到 来 时 ，count 的 值 将 变 为 3， 屏 障 变 成 打开 的 ， 并 且 一 个 任务 将 执 
行人 口 体 。Release 变 量 确 保释 放 另 外 两 个 任务 。 最 后 退出 的 任务 必须 确保 屏障 再 次 关闭 。 
关于 怎样 编写 Ada 中 的 原子 动作 的 更 多 细节 ， 可 以 在 Wellings 和 Burns (1997) 的 文章 中 
找到 。 
10.2.4 用 Java 实 现 原子 动作 


前 一 节 说 明了 编写 原子 动作 的 基本 结构 。Java 方 法 能 够 遵循 相似 的 结构 。 然 而 ， 本 节 利 


用 这 个 机 会 扩充 这 种 方法 ， 使 得 使 用 继承 就 能 容易 地 扩展 Java 支 持 。 
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首先 ， 定 义 三 路 原子 动作 的 接口 : 
public interface ThreeWayAtomicAction 
{ 
public void rolel (); 
public void role2 (); 
public void role3 (); 
} 


使 用 这 个 接口 ， 就 可 能 提供 几 个 实现 各 种 模型 的 动作 控制 器 。 应 用 程序 不 用 修改 代码 就 
能 选择 合适 的 控制 器 。 

下 面 的 动作 控制 器 实现 了 与 前 面 为 信号 量 、 管 程 和 Ada 给 出 的 相同 语义 。 其 算法 和 Ada 版 
本 的 非常 相似 。 一 个 间 步 类 Controller 实 现 了 所 需 的 人 人口 和 出 口 同步 协议 。 然而， 方法 
finished 比 Ada 版 本 的 稍 复杂 些 。 这 归 因 于 wait 和 notifyAl1l 的 语义 。 特 别 是 ， 为 了 知道 
何 时 为 下 一 个 动作 复位 内 部 数据 结构 ， 当 进程 离开 原子 动作 时 (用 toExit)， 必 须 为 进程 计 
数 。 在 Ada 中 ， 这 种 功能 是 利用 Count 属性 实现 的 。 


public class AtomicActionControl implements ThreeWayAtomicAction 
{ 
protected Controller Control; 
public AtomicActionControl () // 构造 器 
{ 
Control = new Controller (); 


} 


class Controller 
{ 
protected boolean firstHere, secondHere, thirdHere; 
protected int allDone; 
protected int toExit; 
protected int numberOfParticipants; 


Controller () 

{ 
firstHere = false; 
secondHere = false; 
thirdHere = false; 
allDone = 0; 
numberOfParticipants = 3; 
toExit = numberOfParticipants; 


} 


synchronized void first () throws InterruptedException 
{ 

while (firstHere) wait (); 

firstHere = true; 


} 


synchronized void second () throws InterruptedException 
{ 

while (secondHere} wait 0; 

secondHere = true; 
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) 
synchronized void third () throws InterruptedException 


{ 
while (thirdHere) wait (); 
thirdHere = true; 


} 
synchronized void finished () throws InterruptedException 
{ 

allDone++; 

if (allDone == numberOfParticipants) { 


notifyAll (); 
) else while (allDone !- numberOfParticipants) { 





wait (); 
) 
toExit--; 
if (toExit -- 0) ( 
firstHere - false; 
secondHere - false; 
thirdHere - false; 
allDone = 0; 
toExit = numberOfParticipants; 
notifyAll (); // 释放 等 待 下 一 个 动作 的 进程 
} 
} 
} 
public void rolel () 
{ 


boolean done = false; 
while (!done) { 
try ( 
Control.first (); 
done = true; 
) catch (InterruptedException e) ( 


// 忽略 


) 
// ... .执行 动作 


done = false; 
while (!done) { 
try { 
Control.finished (); 
done = true; 
} catch (InterruptedException e) { 
// 忽略 


public void role2 () 
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// 类 似 于 rolei 
} 


public void role3 () 


{ 
// 类 似 于 rolel 


有 了 上 述 框架 ， 现 在 就 可 以 把 它 扩展 到 四 路 动作 : 
public interface FourWayAtomicAction extends ThreeWayAtomicAction { 
public void role4 (); 


public class NewAtomicActionControl extends AtomicActionControl 
implements FourWayAtomicAction 


public NewAtomicActionControl () 
{ 
Control = new RevisedController (); 


} 


class RevisedController extends Controller 


{ 


protected boolean fourthHere; 


RevisedController () { 
super (); 
fourthHere = false; ! 
numberOfParticipants = 4; 
toExit = numberOfParticipants; 
} 


synchronized void fourth () throws InterruptedException 
{ 

while (fourthHere) wait (); 

fourthHere = true; 
} 


synchronized void finished () throws InterruptedException 
{ 
super.finished (); 
if (allDone == 0) { 
fourthHere = false; 
notifyAll (); 


} - 


public void role4 () 
{ 


boolean done = false; 
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while (!done) { 
try { 
// 由 十 Control # Controller 类 型 的 ， 
// 它 必 须 首先 转换 成 RevisedController 
// 以 调用 第 四 个 方法 
((RevisedController) Control) .fourth (); 
done = true; 
catch (InterruptedException e) { 


~ 


// 忽略 
} 
} 
// .…. .执行 动作 
done = false; 
while (! done) { 
try { 


Control.finished (); 
done = true; 

} catch (InterruptedException e) { 
// 忽略 

} 

} 
} 
} 


需要 注意 的 是 ， 有 必要 覆盖 方法 finished。 由 于 方法 调用 的 Java 自 动 运行 时 分 派 ， 这 里 
需要 格外 小 心 。 原 始 代码 中 所 有 对 finished 的 调用 将 被 分 派 到 已 覆盖 的 方法 。 
10.2.5 用 occam2 实 现 原子 动作 

只 要 语言 只 支持 消息 传递 ， 动 作 控制 器 本 身 也 就 是 进程 。 动 作 的 每 个 部 件 在 它 的 原子 操 
作 开 始 和 结束 时 ， 各 发 送 一 个 消息 给 控制 器 。 因 为 occam2 的 会 合 机 制 没有 扩展 ， 在 原子 动作 
结束 时 需要 和 控制 器 进行 双重 交互 。 又 因为 occam2 通 道 仅 有 一 个 读者 和 一 个 写 者 ， 所 以 动作 
控制 器 必须 为 动作 的 每 一 个 部 件 准 备 一 个 通道 数组 。 潜 在 的 进程 从 这 个 通道 数组 中 分 配 一 个 

VAL INT max IS 20: -- 在 三 个 组 的 任 一 组 中 的 最 大 客户 进程 数 


[max] CHAN OF INT First, Second, Third: 

CHAN OF INT First.Finished, Second.Finished, Third.Finished: 
331 CHAN OF INT First.Continue, Second.Continue, Third.Continue: 
-~ 所 有 上 述 通道 只 用 于 同步 

-- 它们 默认 地 被 定义 为 遵守 INT 协议 


PROC Action.Controller 
BOOL First.Here, Second.Here, Third.Here: 
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INT Any: 
WHILE TRUE 
SEQ 
First.Here := FALSE 
Second.Here := FALSE 


Third.Here := FALSE © 
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WHILE NOT (First.Here AND Second.Here AND Third.Here) 
ALT 
ALT i = 0 FOR max 
NOT First.Here & First[i]?Any 
First.Here := TRUE 
ALT i = 0 FOR max 
NOT Second.Here & Second{i]?Any 
Second.Here := TRUE 
ALT i = 0 FOR max 
NOT Third.Here & Third[i]?Any 
Third.Here :- TRUE 
First.Finished?Any 
Second.Finished?Any 
Third.Finished?Any 
PAR 
First.ContinuelAny 
Second.Continue!Any 
Third.Continue!Any 


PROC action.1 (CHAN OF INT first.client) 
INT Any: 
SEQ 
first.client!Any 


-- 动作 自身 


First.Finished!Any 
First.Continue?Any 


-- 类 似 地 对 action.2 和 action.3 


PAR 
-- 系统 中 的 所 有 进程 ， 包 括 


Action.Controller 


10.2.6 原子 动作 的 语言 框架 

虽然 上 面 描述 的 各 种 语言 模型 都 可 以 表示 一 个 简单 的 原子 动作 ， 但 它们 都 依靠 编程 人 员 
遵守 某 些 规定 来 保证 不 与 外 部 进程 发 生 交 互 作用 (资源 分 配器 除外 )。 此 外 ， 它 们 假定 原子 动 
作 内 没有 进程 被 中 止 ; 如 果实 时 语言 支持 中 止 设 施 ， 那 么 可 以 从 原子 动作 中 异步 地 删除 一 个 
进程 ， 从 而 导致 动作 处 于 不 一 致 的 状态 。 

通常 没有 一 个 主流 语言 或 操作 系统 直接 支持 原子 动作 的 向 后 或 向 前 出 错 恢复 设施 。( 然 
而 ，Ada、Java 和 POSIX 提 供 异 步 通知 机 制 ， 这 种 机 制 能 用 来 帮助 程序 进行 出 错 恢复 一 - 见 
10.0、10.8 和 10.9 节 。) 在 面向 研究 的 系统 中 ， 已 经 提出 了 语言 机 制 。 为 了 讨论 这 些 机 制 ， 这 
里 为 原子 动作 引入 一 个 简单 的 语言 框架 。 然 后 在 这 个 框架 里 讨论 提出 的 出 错 恢复 机 制 。 

为 了 简化 这 个 框架 ， 只 考虑 静态 进程 。 还 假设 所 有 参与 原子 动作 的 进程 在 编译 时 是 已 知 
的 。 参 与 原子 动作 的 每 个 进程 声明 一 个 动作 语句 ， 它 包括 : 动作 名 、 其 余 参 与 动作 的 进程 和 
在 动作 入 口 处 声明 的 进程 执行 的 代码 。 例 如 ， 进 程 P 希 望 进入 包含 进程 P, 和 P; 的 原子 动作 A， 
它 会 声明 如 下 动作 : 








uU 
w 
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action A with (P;,, P3;) do 
-- 获得 资源 
-- 同 Pz 和 B: 通 信 
-- 释放 资源 

end A; 

假设 三 个 进程 都 知道 资源 分 配器 ， 并 且 动 作 内 的 通信 仅 限 于 在 资源 分 配器 同 这 三 个 P 进 程 
之 间 进行 (包括 对 资源 分 配器 的 外 部 调用 )。 编 译 时 对 这 些 限 制 进行 检查 。 所 有 别 的 进程 声明 
类 似 的 动作 ， 并 且 只 要 遵守 严格 的 焦 套 规定 ， 就 允许 代 套 动作 。 如 果 在 编译 时 进程 是 未 知 的 ， 
那么 同 进程 的 通信 只 在 同一 原子 动作 内 的 两 个 进程 都 处 于 活动 状态 才 被 允许 。 

在 动作 上 施加 同步 机 制 按 如 下 进行 。 进 入 动作 的 进程 不 被 阻塞 。 进 程 只 在 下 面 的 情况 下 
被 阻塞 在 动作 里 面 : 进程 不 得 不 等 待 分 配 资源 ; 或 进程 试图 与 动作 内 的 另 一 个 进程 通信 ， 那 
个 进程 虽 处 于 活动 状态 、 但 不 处 王 接收 通信 的 位 置 ， 或 者 那个 进程 在 动作 内 不 处 于 活动 状态 。 

对 动作 内 的 任何 进程 而 言 ， 只 有 当 动作 内 所 有 活动 进程 都 希望 离开 时 ， 才 能 离开 这 个 动 
作 。 前 面 为 信号 量 、 管 程 、Ada 和 occam2 举 的 例子 不 是 这 种 情况 。 在 那些 情况 下 ， 假 设 所 有 
进程 必须 在 任何 进程 可 以 离开 之 前 进入 动作 。 这 里 ， 一 个 指名 进程 的 子 集合 可 能 在 进入 动作 
后 随后 离开 (不 求助 于 与 失踪 进程 的 交互 )。 在 时 限 很 重要 的 实时 系统 里 ， 这 被 认为 是 基本 功 
能 。 它 解决 了 只 因 一 个 进程 没有 到 达 、 所 有 的 进程 都 挂 在 一 个 动作 里 面 的 离弃 者 (deserter) 
问题 。 这 个 问题 将 在 下 两 节 中 和 出 错 恢复 一 起 讨论 。 


10.3 原子 动作 和 向 后 出 错 恢复 


在 上 一 他 中 ,我 们 讨论 了 原子 动作 的 概念 。 原 子 动作 非常 重要 ， 因 为 它们 约束 信息 在 系 
统 和 定义 良好 的 边界 内 流动 ， 并 因此 为 损害 隔离 和 出 错 恢复 都 提供 了 基础 。 本 节 描 述 并 发 进 
程 之 间 的 两 种 向 后 出 错 恢 复方 法 。 处 理 器 失效 中 的 向 后 出 错 恢复 放 到 第 14 音 讨论 。 

在 第 5 章 阐述 过 ， 当 把 向 后 出 错 恢复 应 用 于 几 组 通信 进程 时 ， 有 可 能 把 所 有 进程 回 滚 到 进 
程 执行 时 的 起 始 状态 。 这 就 是 所 谓 的 多 未 诺 效 应 。 出 现 问题 的 原因 是 没有 一 致 的 恢复 点 集合 
或 一 个 恢复 线 。 原 子 动作 自动 提供 恢复 线 。 如 果 原 子 动作 内 发 生 错误 ， 参 与 的 进程 能 回 滚 到 
动作 起 始 处 并 执行 替代 算法 ， 原 子 动作 确保 进程 在 和 动作 外 部 的 进程 通信 时 没有 传递 任何 错 
误 值 。 这 种 使 用 原子 动作 的 方式 称 作 会 话 (conversations) (Randell, 1975). 

10.3.1 会 话 


在 会 话 方式 下 ， 每 个 动作 语句 包含 一 个 恢复 块 。 例 如 : 
action A with (P,, P,) do 
ensure < 接受 测试 > 
by 
-- 基本 模块 
else by 
-- 替代 模块 
else by 
-- 替代 模块 


else error 
end A; 


会 话 内 涉及 的 其 余 进 程 以 类 似 方式 声明 它们 在 动作 内 的 角色 。 会 话 的 基本 语义 可 概述 如 下 : 
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* 在 会 话 的 入 口 ， 保 存 进程 状态 。 入 口 点 集合 形成 恢复 线 。 

* 在 会 话 内 ， 只 元 许 进程 和 会 话 内 的 其 余 活 动 进 程 和 通用 资源 管理 器 通信 。 因 为 会 话 是 从 

原子 动作 建立 的 ， 这 个 属性 被 继承 。 

* 为 了 离开 会 话 ， 会 话 内 的 所 有 活动 进程 必须 通过 它们 的 接受 测试 。 如 果 是 这 样 ， 则 会 话 

完成 ， 并 且 放 弃 所 有 恢复 点 。 

。 如 果 有 任何 进程 没有 通过 接受 测试 ， 则 所 有 的 进程 恢复 到 会 话 开始 时 保存 的 状态 ， 并 执 

行 替代 模块 。 因 此 ， 假 设 在 会 话 内 执行 的 出 错 恢复 必须 被 所 有 参与 此 会 话 的 进程 执行 。 

“ 会话 可 以 嵌 套 ， 但 必须 是 严格 悉 套 。 

* 如果 会 话 内 的 所 有 替代 模块 失效 ， 那 么 必须 在 更 高 层 上 执行 恢复 。 

应 该 注意 的 是 ， 正 如 Randell (1975) 定义 的 那样 ， 在 会 话 中 所 有 参与 会 话 的 进程 必须 在 
任 一 其 他 进程 能 够 离开 会 话 前 进 和 会话。 这 不 同 于 上 面 描述 的 语义 。 如 果 一 个 进程 由 于 人 迟到 
或 它 已 失败 而 没有 进入 会 话 ， 那 么 只 要 会 话 内 的 其 余 活 动 进程 不 希望 和 它 通信 ， 会 话 就 能 成 
功 地 结束 。 如 果 一 个 进程 试图 和 失踪 的 进程 通信 ， 那 么 它 或 者 阻塞 ， 并 等 待 失踪 进程 的 到 
来 ; 或 者 继续 执行 。 采 用 这 种 方法 有 两 个 好 处 (Gregory and Knight, 1985): 

* 这 种 方法 允许 指定 会 话 的 哪些 部 分 不 是 强制 参与 的 。 

"这 种 方法 多 许 有 时 限 的 进程 离开 会 话 、 继 续 执行 、 以 及 如 果 有 必要 ， 执 行 替代 动作 。 

虽然 会 话 允 许 各 组 进程 协调 它们 的 恢复 ， 但 还 是 遭 到 了 批评 。 一 个 重要 的 原因 是 当 一 个 
会 话 失效 时 ， 要 恢复 所 有 的 进程 并 使 它们 执行 替代 模块 。 这 人 迫使 相同 的 进程 再 次 通信 ， 以 实 
现 想 要 的 效果 ， 一 个 进程 不 能 从 会 话 中 脱身 。 这 可 能 不 是 所 期 望 的 。Gregory 和 Knight (1985) 
指出 : 在 实践 中 ， 当 一 个 进程 在 基本 模块 里 通过 和 一 组 进程 通信 没 能 达到 目标 时 ， 它 可 能 希 


望 在 它 的 次 级 模块 里 和 全 新 进程 组 通信 。 此 外 ， 次 级 模块 的 接受 测试 可 能 很 不 一 样 。 用 会 话 . 


无 法 表示 这 些 需 求 。 
”10.3.2 对 话 和 会 谈 

为 了 克服 和 会 话 相关 的 一 些 问 题 ，Gregory 和 Knight (1985) 提出 了 另 一 个 并 发 进程 间 向 
后 出 错 恢复 的 方法 。 在 他 们 的 方案 里 ， 一 组 希望 参与 向 后 恢复 的 原子 动作 的 进程 ， 通 过 执行 
一 个 dialog (对 话 ) 语句 来 表明 它们 的 愿望 。dialog 语 句 有 三 个 功能 : 标识 原子 动作 、 为 原子 
动作 声明 全 局 接受 测试 、 规 定 动作 内 要 使 用 的 变量 。 对 话语 名 采用 以 下 形式 : 

DIALOG name and acceptance test SHARES (变量 ) 
注意 ， 对 话 的 名 字 和 定义 接受 测试 的 函数 的 名 字 相 同 。 

每 个 希望 参与 原子 动作 的 进程 定义 一 个 指名 原子 动作 的 discuss (讨论 ) 语句 。 讨 论语 名 
的 格式 如 下 : 

DISCUSS 对 话 名 BY 

-- 语句 序列 

TO ARRANGE 布尔 表达 式 
这 个 布尔 表达 式 是 对 进程 进入 这 个 原子 动作 的 局 部 接受 测试 。 

讨论 语句 是 原子 动作 的 一 个 成 分 ， 所 以 它 具 有 上 面 定义 的 所 有 性 质 。 共 同形 成 完整 动作 
的 讨论 语句 组 定义 了 恢复 线 ， 因 此 保存 了 进入 对 话 的 每 个 进程 的 状态 。 除 非 所 有 的 活动 进程 
成 功 地 通过 局 部 接受 测试 并 且 通 过 全 局 接受 测试 ， 否 则 没有 进程 能 离开 对 话 。 如 果 没 有 通过 
任何 一 个 接受 测试 ， 那 么 对 话 必 将 失败 ， 进 程 也 恢复 到 在 原子 动作 的 入 口 处 的 状态 。 


Ww 
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上 述 情况 将 结束 讨论 语 名 的 操作 。 没 有 可 执行 的 替代 模块 ， 然 而 可 以 用 另 一 个 称 作 对 话 
序列 的 语句 与 讨论 语句 组 合 使 用 。 用 类 比 的 方法 ， 如 果 讨 论语 名 等 价 于 Ada 的 接受 语句 ， 那 么 
对 话 序列 就 等 价 于 Ada 的 选择 语句 。 它 的 语法 表示 如 下 : 

` SELECT 

dialog 1 

OR 

dialog 2 
OR 

dialog 3 
ELSE 

-- 语 旬 序列 

END SELECT; 
执行 时 ， 进 程 首先 尝试 dialog_1， 如果 成 功 ， 控 制 就 转 到 选择 语句 后 面 的 语句 。 如 果 
dialog_1 失 败 ， 就 尝试 dialog_2， 依 此 类 推 。 尤 其 要 注意 的 是 ， 与 daialog_1 相 比 ， 
qialog_2 可 能 包含 一 个 完全 不 同 的 进程 集合 。 相 关 选 择 语 名 的 组 合 执行 叫做 会 谈 (colloquy). 

如 果 所 有 的 对 话 尝试 均 失 败 ， 就 执行 ELSE 后 的 语句 。 这 就 为 程序 员 挽救 对 话 提 供 了 最 后 
的 机 会 。 如 果 这 也 失败 了 ， 任 何 外 包 的 会 谈 都 将 失败 。 注 意 ， 通 过 执行 Eail1 语 句 ， 进 程 可 以 
显 式 地 使 对 话 或 会 谈 失 败 。 l 

为 了 使 会 谈 概念 在 实时 系统 中 得 到 使 用 ， 有 必要 把 超时 和 选择 语句 关联 起 来 ， 这 将 在 
12.8.2 节 讨论 。 


10.4 原子 动作 和 向 前 出 错 恢复 


在 第 5 章 中 我 们 指出 过 ， 虽 然 向 后 出 错 恢复 可 以 使 原子 动作 从 未 预期 的 错误 中 恢复 ， 但 在 
336] 婴 入 式 系统 的 运行 环境 中 执行 的 操作 很 难 撤消 。 因 此 必须 考虑 向 前 出 错 恢复 和 异常 处 理 。 在、 
本 市 中， 讨论 原子 动作 里 面 涉 及 的 并 发 进程 间 的 异常 处 理 。 
对 向 后 出 错 恢复 来 说 ， 当 有 一 个 错误 发 生 时 ， 原 子 动作 里 面 涉及 的 所 有 进程 都 参与 恢复 。 
这 种 情况 同样 适用 于 异常 处 理 和 向 前 出 错 恢复 。 如 果 原 子 动作 里 面 有 一 个 活动 进程 出 现 异常 ， 
这 个 异常 就 在 原子 动作 里 的 所 有 活动 进程 中 引发 。 因 为 这 种 异常 是 发 自 别 的 进程 ， 所 以 称 它 
是 异步 的 。 下 面 是 支持 异常 处 理 的 原子 动作 的 类 Ada 语 法 。 
action A with (P,, P;) do 
-- 动 作 
exception 
when exception_a => 
-~ 语句 序列 
when exception_b => 
-~ 语句 序列 
when others => 


raise atomic action failure; 
end A; 


按照 异常 处 理 的 终止 模型 ， 如 果 原 子 动作 内 的 所 有 活动 进程 都 有 一 个 处 理 程序 ， 并 且 所 
有 处 理 程序 在 处 理 异常 时 不 引发 新 的 异常 ， 则 原子 动作 就 正常 完成 。 如 果 使 用 恢复 模型 ， 当 
异常 被 处 理 完 时 ， 原 子 动作 内 的 活动 进程 就 在 异常 引发 处 恢复 执行 。 
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不 管用 什么 模型 ， 如 果 原 子 动作 内 的 活动 进程 都 没有 异常 处 理 程序 ， 或 者 有 一 个 异常 处 
理 程 序 失 败 ， 那 么 原子 动作 将 失败 ， 并 引发 标准 异常 atomic_action_failure。 在 所 有 相关 进程 
内 都 引发 这 个 异常 。 

当 为 原子 动作 增加 蜡 常 处 理 时 有 两 个 问题 必须 考虑 : 并 发 引发 的 异常 的 分 辨 (resolution) 
和 嵌 套 动作 内 的 异常 (Campbell and Randell，1986)。 下 面 对 这 些 问题 作 简要 评述 。 
10.4.1 并 发 引发 的 异常 的 分 辨 

原子 动作 内 的 多 个 活动 进程 有 可 能 同时 引发 不 同 的 异常 。 正 如 Campbell 和 Randell (1986) 
指出 的 那样 ， 如 果 由 故障 引起 的 出 错 不 能 由 原子 动作 的 每 个 成 分 提供 的 出 错 检测 工具 惟一 标 
识 ， 则 上 述 情 况 就 很 可 能 发 生 。 如 果 在 一 个 原子 动作 里 面 同时 发 生 了 两 个 异常 ， 每 个 进程 里 
就 可 能 有 两 个 独立 的 异常 处 理 程序 。 决 定 应 该 选用 哪个 异常 处 理 程序 可 能 是 困难 的 。 此 外 ， 
连接 在 一 起 的 两 个 异常 形成 了 第 三 个 异常 ， 第 三 个 异常 表示 前 两 个 异常 发 生 的 条 件 已 经 出 现 。 

为 了 分 辨 并 发 引发 的 异常 ，Campbell 和 Randell 建 议 使 用 异常 树 (exception tree)。 如 果 并 
发 地 引发 了 几 个 异常 ， 那 么 用 来 标识 处 理 程序 的 异常 是 包括 所 有 异常 的 最 小 子 树 的 根 节点 
(虽然 并 不 清楚 怎样 组 合 与 这 个 异常 关联 的 参数 )。 每 个 原子 动作 成 分 都 能 声明 自己 的 异常 树 ， 
一 个 原子 动作 内 涉及 的 不 同 进程 可 以 有 不 同 的 异常 树 。 
10.4.2 异常 和 内 部 原子 动作 

在 原子 动作 嵌 套 的 情况 下 ， 一 个 原子 动 作 里 面 的 一 个 活动 进程 有 可 能 引发 异常 ， 而 这 个 
原子 动作 内 的 其 他 进程 参与 嵌 套 动作 。 图 10-2 解 释 了 这 个 问题 。 
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图 10-2 ERTE PAR 


当 异 常 被 引发 时 ,涉及 的 所 有 进程 必须 参与 恢复 动作 。 但 是 ， 依 照 定义 ， 内 部 动作 是 不 
可 分 的 。 引 发 那个 动作 里 面 的 异常 有 可 能 损害 不 可 分 性 。 此 外 ， 内 部 动作 也 许 对 可 能 引发 的 
异常 一 无 所 知 。 

Campbell 和 Randell (1986) 讨论 了 这 个 问题 的 两 个 可 能 的 解决 方案 。 第 一 个 方案 是 阻止 
异常 引发 ， 直 到 内 部 动作 完成 。 但 由 于 下 面 的 原因 ， 他 们 放弃 了 这 个 方案 : 

* 在 实时 系统 中 ， 被 引发 的 异常 可 能 和 时 限 错过 有 关联 。 阻 止 恢复 过 程 可 能 给 动作 的 及 时 

响应 埋 下 隐患 。 

“检测 到 的 出 错 条 件 可 能 表示 : 因为 某 种 死 锁 条 件 的 出 现 ， 内 部 动作 永 不 终止 。 

因为 这 些 原因 ，Campbell 和 Randell 允 许 内 部 动作 有 预定 义 的 中 止 异 常 。 引 发 这 个 异常 向 
动作 表示 : 异常 是 在 一 个 外 包 的 动作 内 引发 的 ， 并 且 调 用 动作 的 前 提 条 件 不 再 成 立 。 如 果 引 
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发 了 这 种 异常 ， 内 部 动作 应 该 调用 容错 措施 中 止 自 己 。 一 旦 这 个 动作 被 中 止 ， 外 部 动作 就 能 
处 理 最 初 的 异常 。 

如 果 内 部 动作 不 能 中 止 自 身 ， 那 么 它 必须 向 原子 动作 失效 异常 发 送 一 个 信号 。 这 个 信号 
可 以 与 未 处 理 完 的 异常 结合 起 来 ， 去 影响 由 外 包 动 作 执行 的 恢复 的 选择 。 如 果 没 有 定义 中 目 
异常 ， 外 包 的 动作 必须 等 待 内 部 动作 的 完成 。 另 一 个 可 选 方案 是 ， 提 供 一 个 能 引发 原子 动作 
失效 异常 的 默认 处 理 程序 。 


10.5 异步 通知 


虽然 前 面 已 经 分 别 讨论 了 向 前 和 向 后 出 错 恢复 ， 但 实际 上 ， 在 许多 实时 系统 中 需要 把 这 
两 种 恢复 结合 起 来 。 当 需要 从 意料 不 到 的 出 错 恢复 时 ， 要 用 到 向 后 出 错 恢复 ， 当 要 撤销 或 改 
善 与 环境 的 交互 时 ， 需 要 向 前 出 错 恢复 。 实 际 上 ， 向 前 出 错 处 理 能 用 来 实现 一 种 向 后 出 错 恢 
复方 案 一 - 见 10.8.2 节 。 

如 在 10.2 节 讨论 的 那样 ， 没 有 一 个 主流 实时 语言 支持 原子 动作 ， 因 此 有 必要 用 更 初级 的 语 
言 设施 来 达到 和 原子 动作 相同 的 效果 。 恢 复 动作 也 是 这 种 情况 。 恢 复 动作 主要 的 需求 之 一 是 
能 够 引起 动作 内 被 涉及 进程 的 注意 ， 并 且 通 知 它 另 一 个 进程 内 发 生 了 错误 。 大 多 数 语言 和 操 
作 系 统 支持 某 种 形式 的 异步 通知 机 制 。 至 于 异常 ， 有 两 种 基本 的 模型 : 恢复 模型 和 终止 模型 。 

异步 通知 处 理 〈 经 常 被 称 作 事件 处 理 ) 的 恢复 模型 的 行为 同 软件 中 断 相似 。 一 个 进程 表 
明 自己 将 处 理 哪些 事件 ， 当 有 信号 触发 事件 时 ， 进 程 被 中 断 (除非 进程 暂时 抑制 了 事件 的 发 
送 ) 并 执行 事件 处 理 程序 。 处 理 程序 负责 响应 异步 事件 ， 然 后 进程 继续 从 中 断 处 执行 。 当 然 ， 
这 种 机 制 和 6.2.4 节 给 出 的 异常 处 理 的 恢复 模型 很 相似 。 主 要 的 不 同 是 事件 通常 不 是 由 受 影响 
的 进程 用 信号 触发 的 (或 者 因为 受 影 响 进程 正在 执行 的 一 个 操作 ), 而 是 异步 地 用 信号 触发 的 
然而 ,许多 操作 系统 不 为 同步 异常 处 理 提供 特别 的 异常 处 理 设施 ， 而 是 使 用 异步 事件 机 制 。 
POISX 信 号 设施 是 带 恢复 功能 的 异步 事件 模型 的 例子 。 

注意 ， 对 恢复 模型 来 说 ， 进 程 的 控制 流 只 是 暂时 改变 ， 事 件 处 理 完 毕 后 ， 进 程 又 恢复 到 
原来 的 控制 流 。 在 一 个 多 线程 的 进程 里 ， 有 可 能 把 一 个 专门 的 线程 和 事件 关联 在 一 起 ， 并 且 
当 事 件 被 信号 触发 时 ， 调 度 此 线程 。 实 时 Java 支 持 这 种 模型 。 

对 于 异步 通知 的 终止 模型 ， 每 个 进程 规定 一 个 执行 域 ， 在 这 个 执行 域 中 进程 准备 接收 引 
起 这 个 域 终止 的 异步 通知 。 这 种 方式 常 称 作 异步 控制 转移 (asynchronous transfer of control) 
或 ATC。 如 果 ATC 请 求 发 生 在 这 个 执行 域外 ， 可 以 把 它 忽 略 或 将 其 排队 。 在 处 理 完 ATC 后 ， 控 
制 返回 到 被 中 断 的 进程 ， 但 返回 的 位 置 与 发 出 ATC 时 的 不 同 。 这 种 方式 和 异常 处 理 的 终止 模 
型 的 非常 相似 。Ada 和 实时 Java 语 言 支持 异步 控制 转移 机 制 。 : 

对 于 在 语言 (或 操作 系统 ) 里 包含 异步 通知 机 制 是 存在 争议 的 ， 因 为 这 使 语言 的 语义 复 
杂 ， 还 增加 了 运行 时 支持 系统 的 复杂 性 。 因 此 本 节 首先 讨论 应 用 的 需求 ， 这 种 需求 证 明 语言 
包含 异步 通知 设施 的 合理 性 。 然 后 讨论 异步 事件 处 理 的 POSIX 和 实时 Java 模 型 ， 接 着 讨论 Ada 
和 实时 Java 的 异步 控制 转移 机 制 。 
异步 通知 的 用 户 需 要 E 

六 异世 通知 设施 的 基本 需求 是 能 够 使 进程 对 于 由 另 一 个 进程 检测 到 的 状态 作出 快速 的 了 
局 ”站 点 是 快速 的 响应 ， 显 然 进程 总 能 用 简单 的 查询 或 者 等 待 事件 来 对 事件 作出 响应 。 训 人 
和 能 名 被 映射 到 进程 的 通信 和 同步 机 制 上 。 当 处 理 进程 处 于 准备 接收 事件 的 状态 时 ” 它 只 
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但 是 ， 有 一 些 不 适 于 查询 事件 或 者 等 待 事件 发 生 的 情形 。 这 包括 以 下 情形 : 
* 出 错 恢复 


本 章 强调 过 ， 当 几 组 进程 执行 原子 动作 时 ， 如 果 在 一 个 进程 内 检测 到 一 个 错误 ， 那 么 需 

要 所 有 别 的 进程 都 参与 恢复 。 例 如 ， 硬 件 故障 意味 着 进程 不 能 完成 既定 的 执行 步 又 ， 因 

为 进程 继续 执行 的 前 提 条 件 已 不 再 成 立 ， 进 程 可 能 永远 也 到 不 了 查询 点 。 而 且 ， 可 能 发 

生 时 间 性 故障 ， 这 意味 着 进程 不 再 满足 交付 服务 的 时 限 。 在 上 述 这 些 情况 下 ， 必 须 通知 

这 个 进程 检测 到 了 一 个 错误 ,而且 它 必须 尽快 地 进行 出 错 恢 复 。 

* 模式 改变 

一 个 实时 系统 通常 有 几 种 操作 模式 。 例 如 ， 一 个 电 操纵 民 用 飞机 有 起 飞 模式 、 闻 航模 式 

和 着 陆 模式 。 在 许多 情况 下 ， 可 以 仔细 地 管理 模式 之 间 的 改变 ， 并 且 在 系统 执行 中 的 定 

义 明确 的 点 上 才 发 生 这 种 改变 ， 就 像 正常 的 民用 飞机 飞行 计划 那样 。 不 过 ， 在 某 些 应 用 

领域 ， 预 期 会 出 现 模式 改变 ， 却 不 能 制定 出 改变 的 计划 。 例 如 ， 一 个 故障 可 能 导致 飞机 

放弃 起 飞 并 进入 紧急 操作 模式 ; 或 者 制造 过 程 中 的 事故 要 求 立即 进行 模式 改变 以 确保 有 Bag 

序 地 关闭 工厂 设备 。 在 这 些 情况 下 ， 必 须 迅速 和 安全 地 通知 进程 ， 它 们 运作 的 模式 已 经 

改变 ， 并 且 现 在 它们 需要 执行 一 套 不 同 的 动作 。 

+ 用 部 分 /不 精确 计算 进行 调度 

有 许多 算法 ， 它 们 的 计算 结果 的 精确 性 依赖 于 分 配给 它们 的 计算 时 间 。 例 如 ， 数 值 计算 、 

统计 估计 和 启发 式 搜索 ， 它 们 都 是 先 产 生 所 求 结果 的 一 个 初步 估计 ， 然 后 经 过 求 精 ， 得 

到 更 大 的 精确 度 。 运 行 时 ， 先 分 配给 算法 一 定数 量 的 时 间 ， 当 时 间 用 完 后 ， 必 须 中 断 进 

程 ， 停 止 对 结果 的 求 精 。 

“用 户 中 断 

在 一 般 的 交互 式 计算 环境 里 ， 由 于 用 户 检测 到 了 -一 个 出 错 条 件 并 希望 重新 开始 计算 ， 就 

常常 希望 停止 当前 的 处 理 。 

异步 通知 处 理 的 一 种 方法 是 中 止 进程 并 允许 另 一 个 进程 执行 某 种 恢复 。 所 有 的 操作 系统 
和 大 多 数 并 发 编程 语言 提供 此 类 设施 。 然 而 ， 中 止 进程 的 代价 是 昂贵 的 ， 而 且 是 对 许多 出 错 
条 件 的 极端 反应 。 因 此 ， 还 需要 某 种 形式 的 异步 通知 机 制 。 


10.6 POSIX 信 和 号 


POSIX 提 供 一 种 叫做 信号 的 异步 事件 处 理 机 制 ， 信 号 也 用 于 一 类 环境 检测 的 同步 错误 
(例如 用 零 除 ， 非 法 指针 等 )。 信 号 的 定义 早 于 线程 ， 所 以 扩展 信号 模型 到 多 线程 环境 有 -- 些 
困难 。 单 线程 进程 的 信号 模型 相当 简单 ( 见 程 序 10-1，POSIX 信 号 的 C 接 口 的 规格 说 明 )。 有 
一 些 预先 定义 的 信号 ， 每 个 信号 都 分 配 了 一 个 整数 值 。 还 有 由 实现 定义 的 信号 ， 可 供应 用 程 
序 使 用 。 每 个 信号 有 一 个 默认 的 处 理 程序 ， 它 通常 终止 接收 进程 。 信 号 的 例子 是 : SIGRABRT 
用 于 异常 终止 ，SIGALARM 用 于 报警 时 钟 到 期 ，SIGILL 用 于 非法 指令 异常 ， SIGRTMIN 用 于 
第 一 个 实时 应 用 可 定义 异常 的 标识 符 ，sIGRTMAX 用 于 最 后 一 个 实时 应 用 可 定义 异常 的 标识 
符 。 POSIX 只 认为 其 数字 编码 介 于 SIGRTMIN 和 SsIGRTMAX 之 间 的 信号 是 实时 的 。 实 时 信号 
是 有 额外 信息 的 信号 ， 由 产生 它 的 进程 传送 给 处 理 程序 。 此 外 ， 它 们 是 排队 的 。 

进程 有 三 种 方法 处 理 信号 : 
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* 进程 可 以 阻塞 信号 ， 以 后 再 处 理 它 或 者 接受 它 ; 

“进程 可 以 处 理 信号 《通过 在 信号 发 生 时 设置 被 调用 的 函数 ) ; 

“进程 可 以 完全 忽略 信号 (在 这 种 情况 下 信号 被 简单 地 丢弃 )。 

未 阻塞 且 未 忽略 的 信号 一 产生 就 被 发 出 。 阻 塞 的 信号 悬挂 起 来 暂 不 发 出 ， 或 者 可 以 调用 
sigwait () 函数 来 接受 它 。 


程序 10-1 POSIX 信 和 号 的 C 接 口 





union sigval { 
int sival_int; 
void *sival_ptr; 


u 


struct sigevent ( 
/* 用 于 消息 队列 通知 和 定时 器 */ 
int sigev_notify; /* 通知 : SIGEV_SIGNAL, */ 
/* SIGEV_THREAD 或 SIGEV_NONE */ 
int sigev signo; /* 待 生成 的 信号 */ 
union sigval sigev value; /* 待 排队 的 值 */ 
void (*) sigev_notify function (union sigval s); 
/* 要 被 处 理 为 线程 的 函数 */ 
pthread_attr_t *sigev_notify attributes; 
/* 线程 属性 */ 
} 


typedef struct { 

int si_signo; 

int si_code; 

union sigval si_value; 
} siginfo_t; 


typedef ... sigset t; 


Struct sigaction ( 
void (*sa handler) (int signum); /* 非 实时 处 理 程序 */ 
void (*sa sigaction) (int signum, siginfo t *data, 
void *extra); /* 实时 处 理 程序 */ 
sigset_t sa mask; /* 在 处 理 程序 期 间 的 屏 藏 信和 号 */ 
int sa flags; /* 指出 信号 是 不 是 要 排队 */ 
NE 


int sigaction (int Sig, const struct sigaction *reaction, 
struct sigaction *old reaction); 


/* 为 sig 启 动 一 个 信号 处 理 程序 reaction */ 
/* 下 列 函数 使 进程 能 等 待 信号 */ 


int sigsuspend (const sigset_t *sigmask); 

int sigwaitinfo (const sigset t *set, Siginfo t *info); 

int sigtimedwait (const sigset t *set, siginfo_t *info, 
const struct timespec *timeout); 


int sigprocmask (int how, const Sigset t *set, sigset t *oset); 


/* 按 how 的 值 处 理 信号 屏蔽 */ 
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/* how = SIG_BLOCK -> 此 集合 被 加 到 当前 集合 */ 
/* how = SIG UNBLOCK -> 从 当前 集合 减 去 此 集合 —*/ 
/* how = SIG SETMASK -> 给 定 的 集合 变 成 屏蔽 集合 */ 


/* 下 列 例 程 使 一 个 信号 集合 被 创建 和 处 理 */ 
int sigemptyset (sigset_t *s); /* 将 集合 初始 化 为 空 */ 
int sigfillset (sigset t *s); /* 将 集合 初始 化 为 满 */ 
int sigaddset (sigset t *s, int signum); /* 加 一 个 信号 */ 
int sigdelset (sigset t *s, int signum); /* 移 走 一 个 信号 */ 
int sigismember (const sigset_t *s, int signum); 
/* 如 果 是 成 员 ， 返 回 1 */ 
int kill (pid t pid, int sig); 
/* 向 进程 pid 发 信号 sig */ 
int sigqueue (pid_t pid, int sig, const union sigval value); 
/* 发 送信 号 和 数据 * / 
/* 当 发 生 错 误 时 ， 所 有 上 述 函 数 返 回 -1 */ 
/* 共享 变量 errno 包含 有 出 错 原 因 */ 


10.6.1 阻塞 信号 


POSIX 人 负责 维护 进程 当前 屏 项 的 信号 集合 。 函 数 sigprocmask 用 于 操纵 这 个 集合 。 参 数 
how 设 置 为 SIG_BLOCK 的 含义 是 向 集合 中 添加 信号 ，、 设 置 为 STG_UNBLOCK 的 含义 是 从 集合 中 减 
少 信和 号， 设置 为 STG_SETMASK 的 含义 是 取代 这 个 集合 S 。 另 外 两 个 参数 包括 添加 /减少 / 重 置 
(set) 信号 集合 的 指针 和 旧 集 合 (oset) 的 返回 值 。 各 种 函数 (sigemptyset. 
sigfillset、sigaddset、sigdelset 和 sigismember) 使 得 可 以 操纵 信号 集合 

当 信 号 被 阻塞 时 ， 它 保持 悬挂 状态 直到 它 被 解除 阻塞 或 被 接受 。 当 它 被 解除 阻塞 时 ， 就 
被 发 出 。 某 些 信号 不 能 被 阻塞 。 

10.6.2 处 理 信 和 号 

可 以 用 困 数 sigaction 启 动 信 号 处 理 程序 。 参 数 sig 指 明 处 理 哪 一 个 信号 , reaction 
是 指向 包含 处 理 程序 信息 的 结构 的 指针 ，old_reaction 指 向 上 一 个 处 理 程序 的 信息 。 本 质 
E, 一 个 处 理 程序 的 信息 包括 指向 处 理 程序 函数 的 指针 (如 果 信 号 是 非 实时 信和 号， 该 指针 是 
sa handler; 如 果 信 号 是 实时 信号 ， 该 指针 是 sa_sigaction)、 处 理 程序 执行 期 间 屏 茂 
的 信号 集合 (sa_mask )、 信 号 是 否 排队 (通过 设置 sa_f1ags 的 值 为 符号 常量 
SRA_SIGINEO 来 表示 一 一 只 有 值 位 于 SIGRTMIN 和 SIGRTMRAX 之 间 的 信号 参与 排队 )。 成 员 
sa_handler 表 示 和 信号 相关 联 的 动作 ， 它 的 值 可 以 是 : 

* SIG_DFI 一 一 默认 的 动作 (通常 是 终止 这 个 进程 ) ; 

。SIG_IGN 一 一 忽略 这 个 信号 ; 

。 指 向 函数 的 指针 一 一 当 信 和 号 发 出 时 调用 。 

对 非 实时 信号 ， 当 信号 产生 时 ， 只 能 传递 一 个 整数 参数 给 处 理 程序 。 此 参数 的 值 一 般 表示 信号 
本 身 (同一 处 理 程序 可 用 于 处 理 多 个 信号 )。 然 而 ， 对 实时 信号 ， 通 过 指向 结构 siginfo_t 的 
指针 可 以 传递 更 多 的 数据 。 这 个 结构 包括 信号 编号 (重复)、 表 示 信 和 号 起 因 的 代码 (例如 ， 一 
个 定时 器 信号 ) 和 一 个 整数 或 指针 值 。 


日 ”SIG_BLOCK、SIG_UNBLOCK 和 SIG_SETMASK 是 编译 时 常量 。 
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如 果 不 止 一 个 实时 信和 号 在 排队 ， 首 先 发 送 信号 值 最 小 的 信号 (就 是 说 ，SIGRTMIN 在 
SIGRTMIN+1 之 前 发 送 ， 依 此 类 推 )。 

进程 可 以 用 国 数 sigsuspend、sigwaitinfo 或 sigtimedwait 等 待 信号 的 到 来 。 国 
数 sigsuspend 用 传 给 它 的 参数 带 来 的 值 取 代 屏 项 码 并 挂 起 进程 ， 直 到 : 

1) 发 出 一 个 解除 阻塞 信号 ， 并 且 

2) 执行 相关 的 处 理 程 序 。 

如 果 处 理 程序 终止 了 这 个 进程 ， 函 数 sigsuspend 就 不 返回 ， 否 则 它 返 回调 用 ， 并 将 信 
号 屏 项 码 重 置 为 调用 sigsuspend 之 前 存在 的 状态 。 

消 数 sigwaitinfo 也 挂 起 调用 进程 ， 直 到 信号 到 达 。 然 而 ， 这 一 次 必须 阻塞 信和 号， 因此 
不 调用 处 理 程 序 。 函数 返 回 选择 的 信号 编号 ,并 将 关于 已 发 送信 号 的 信息 存放 到 info 变 元 里 。 
铺 数 sigtimedwait 和 sigwaitinfo 有 相同 的 语义 ,但 它 允 许 为 挂 起 指定 超时 。 如 果 在 超 
时 值 到 达 之 前 没有 发 出 信号 ，sigwaitinfo 返 回 -1，errno 被 设置 为 EACAIN。 

当 用 信号 进行 条 件 同 步 时 必须 特别 小 心 。 在 查看 信号 是 否 已 经 到 达 和 发 出 导致 挂 起 的 请 
求 之 间 存 在 潜在 的 竞争 条 件 。 适 当 的 协议 是 首先 阻塞 信号 ， 然 后 测试 信号 是 否 已 经 出 现 ， 如 
果 没 有 出 现 ， 挂 起 并 用 上 述 函 数 之 一 为 信号 解除 阻塞 。 
106.3 忽略 信号 

在 对 函数 sigaction 的 调用 中 ， 只 要 设置 sa_handler 的 值 为 SIG_IGN， 就 可 以 忽略 信号 。 
10.6.4 生成 信号 

一 个 进程 有 两 种 方式 生成 一 个 准备 发 给 另 一 个 进程 的 信和 号 。 第 一 种 方式 是 利用 ki11 函 数 ， 
第 二 种 是 利用 sigqueue 函 数 。 后 者 只 能 发 送 实 时 信和 号 。 

然而 ， 注 意 到 当 定 时 器 到 期 时 (例如 ，SIGALRM- 一 见 12.8.1 节 )， 当 异步 JO 完 成 时 ， 进 
程 能 通过 消息 到 达 一 个 空 消息 队列 ( 见 9.5 节 ) 或 者 用 C 的 引发 语句 请 求 给 它 自己 发 送信 和 号 。 

对 定时 器 、 异 步 JO 和 消息 到 达 ，POSIX 接 口 允许 传递 struct sigevent 的 值 。 这 定义 
了 当 接 收 到 事件 通知 后 将 发 生 的 动作 。 有 三 个 选项 : 

*SIGEV_NONE 一 一 什么 通知 也 不 发 ; 

“SIGEV_SIGNRAL 一 一 用 通常 的 方式 生成 信号 ; 

" SIGEV_THREAD 一 一 调用 sigev_notify 函 数 ， 就 像 它 是 一 个 新 创建 线程 的 启动 例 行 

程序 ， 该 线程 有 sigev_notify_attributes 属 性 。 空 属性 表示 这 个 线程 应 该 被 作为 

已 经 被 分 派 的 对 待 。 
10.6.5 一 个 POSIX 信 号 的 简单 例子 


作为 POSIX 信 号 的 一 个 实例 说 明 ， 分 析 下 面 的 程序 段 。 一 个 进程 周期 性 地 进行 某 种 计算 。 
实际 进行 的 计算 依赖 于 系统 范围 的 操作 模式 。 模式 改变 通过 应 用 程序 定义 的 实时 信号 
MODE_CHANGE 传 播 到 所 有 进程 。 信号 处 理 程序 change_mode 就 只 是 改变 全 局 变量 mode。 
进程 在 每 次 迭代 开始 时 访问 mode。 为 了 确保 在 访问 模式 时 mode 不 改变 ， MODE_CHANGE 信 号 
被 阻塞 。 


#include <signal.h> 


#define MODE A 1 
#define MODE B 2 
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#define MODE CHANGE SIGRTMIN +1 
int mode = MODE_A; 


void change mode (int signum, siginfo t *data, void *extra) ( 
/* 信号 处 理 程序 */ 
mode = data -> si value.sival int;; 

} 

int main () { 


sigset_t mask, omask; 
struct sigaction s, os; 


int local_mode; 


SIGEMPTYSET (&mask); 
SIGADDSET (&mask, MODE_CHANGE); 


-8a_flags = SA_SIGINFO; 
.Sa mask = mask; 
-Sa_sigaction = &change mode; 


an uG ua n 


.Sa handler = &change mode; 

SIGACTION (MODE CHANGE, &s, &os); /* 分 配 处 理 程序 */ 
while (1) { 

SIGPROCMASK (SIG BLOCK,  &mask, &omask); 


local mode - mode; 
SIGPROCMASK (SIG UNBLOCK, &mask, &omask); 


/* 周 期 性 操作 使 用 模式 */ 
switch (local mode) { 
case MODE A: 


break; 
case MODE B: 


break; 
default: 
} 
} 
} 
10.6.6 信和 号 和 线程 


最 初 的 POSIX 信 号 模型 来 自 Unix， 当 POSIX 的 实时 扩 展 确定 以 后 ， 对 POSIX 信 号 模型 进 
行 了 扩展 ， 以 使 它 更 适合 于 实时 应 用 。 随 着 POSIX 线 程 的 扩展 ，POSIX 信 号 模型 变 得 越 来 越 
复杂 ， 并 成 了 “每 个 进程 一 个 信号 ”模型 和 每 个 线程 一 个 信号 ”模型 之 间 的 折衷 。 以 下 几 

* 同步 出 错 条 件 产生 的 信号 (例如 存储 器 违例 ) 只 发 送 给 导致 信号 产生 的 线程 。 

“其余 的 信号 可 以 作为 整体 发 送 给 进程 ， 然 而 ， 每 个 信号 只 发 送 给 进程 中 的 单个 线程 。 
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。 胃 数 kil1l1 和 sigqueue 依 然 适 用 于 进程 。 一 个 新 函数 pthread kill 
int pthread_kill (pthread_t thread, int sig); 

使 进程 能 发 送信 号 给 单个 线程 。 

。 还 能 用 函数 pthread cancelfkjbzEf2. 


int pthread_cancel (pthread_t thread); 


可 以 用 函数 pthread setcancelstate 使 撤消 请 求 的 效果 失效 ,或 者 用 函数 pthread_ 
setcanceltype 延 迟 它 。 


int pthread_setcancelstate (int state, int *oldstate); 
int pthread_setcanceltype (int type, int *oldtype); 


“如 果 有 不 止 一 个 线程 适合 接收 一 个 发 出 的 信号 ， 没 有 定义 选用 哪 一 个 线程 。 
* 如 果 一 个 处 理 程序 为 信号 指定 的 动作 是 终止 ， 那么 整个 进程 也 终止 ， 而 不 仅仅 是 线程 终 
止 。 
* 可 以 在 基于 每 个 线程 的 基础 上 用 函数 pthread_sigmask 阳 塞 信忠， 此 函数 和 sigpr- 
ocmask 有 相同 的 参数 集合 。 没 有 规定 函数 sigprocmask 只 用 于 多 线程 的 进程 。 
* 蜀 数 sigsuspend、sigwaitinfo 或 者 sigtimedwait 的 操作 是 在 调用 线程 上 ， 而 
不 是 在 调用 进程 上 。 
。 一 个 新 的 函数 sigwait 
int sigwait (const sigset_t *set, int *sig); 
使 一 个 线程 能 等 待 几 个 阻塞 的 信号 之 一 出 现 。 它 的 行为 和 sigwaitinfo () 一 样 ， 除 了 
不 返回 和 信号 相关 的 信息 。 信 号 在 引用 的 位 置 set 处 指定 。 当 执行 了 一 个 成 功 的 等 待 ， 
函数 返回 零 ， 由 sig 所 引用 的 位 置 包含 有 接收 的 信号。 
当 调用 函数 时 ， 如 果 信 号 中 有 一 个 已 挂 起 ， 函 数 立 即 返 回 。 如 果 不 止 一 个 挂 起 ， 并 
设 有 定义 选择 哪 一 个 ， 除 非 只 有 实时 信号 挂 起 。 在 这 种 情况 下 ， 选择 最 小 值 的 那个 。 
。 如 果 一 个 线程 设置 信号 的 动作 为 “忽略 ”， 它 并 没有 规定 是 立即 丢弃 产生 的 信号 还 是 保 
虽然 POSIX 允 许 线程 或 进程 处 理 异 步 事 件 ， 但 必须 小 心 ， 因为 一 些 POSIX 系 统 调用 被 称 为 
不 安全 异步 发 信号 (async-signal unsafe) 和 不 安全 异步 撤消 (async-cancel unsafe), 如 果 一 个 
言 号 中 断 了 一 个 由 信号 捕获 函数 调用 的 不 安全 异步 函数 ， 其 结果 是 没有 定义 的 。 例 如 ， 使 用 信 
号 处 理 程序 中 的 函数 pthread_cond_signal 是 不 安全 的 ， 因为 它 引 入 了 与 函数 pthread_ 
cond_wait 的 竞争 条 件 。 
10.6.7 POSIX 和 原子 动作 


假定 原子 动作 里 面 的 活动 之 间 交 互 密切 ， 认为 动作 是 发 生 在 POSIX 线 程 之 间 比 认为 是 发 
生 在 POSIX 进 程 之 间 更 合适 。 至 少 有 两 个 方法 实现 线程 之 间 的 类 似 原 子 动作 的 结构 : 

1) 用 信号、 setjmp 和 longjmp 的 组 合 编程 实现 必需 的 协调 。 但 是 ， longjmp 和 所 有 的 
线程 系统 调用 是 异步 不 安全 的 。 这 意味 着 单个 处 理 程序 不 能 调用 它们 。 

2) 使 用 线程 创建 和 撤消 编程 实现 所 需 的 恢复 。 因为 POSIX 线 程 的 设计 很 便宜 ， 这 种 方法 
没有 与 更 重量 级 进程 结构 同样 的 性 能 损失 。 

由 于 使 用 恢复 模型 ， 所 以 需要 这 些 方 法 。 如 果 支 持 终止 模型 ， 就 可 得 到 一 个 更 简单 的 结 
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构 。 与 此 有 关 的 内 容 将 在 10.8 节 Ada 的 背景 下 和 10.9 节 实时 Java 的 背景 下 讨论 。 
10.7 实时 Java 中 的 异步 事件 处 理 


在 实时 Java 中 与 POSIX 信 号 等 价 的 是 异步 事件 。 实 际 上 ， 当 实时 Java 在 一 个 遵循 POSIX 的 
操作 系统 上 实现 时 ， 有 一 个 类 POSIXSignalHandler， 它 使 POSIX 信 号 能 被 映射 到 实时 
Java 事 件 ( 见 15.5.2 节 )。 

程序 10-2 展 示 实时 Java 中 与 异步 事件 相关 的 三 个 主要 的 类 。 每 个 AsyncEvent 可 以 有 一 
个 或 多 个 AsyncEventHandler。 当 事件 发 生 时 (通过 对 fire 方 法 的 调用 指出 )， 根 据 它们 
HJSchedulingParameters, 调度 所 有 和 事件 相关 的 处 理 程序 去 执行 一 一 见 13.14.3 节 。 通 
过 使 用 bindTo 方 法 ， 也 可 以 把 事件 的 激发 (fire) 与 依赖 于 实现 的 外 部 动作 的 发 生 关 联 起 来 。 

每 个 处 理 程 序 为 每 个 未 完成 的 事件 激发 被 调度 一 次 。 然 而 ， 处 理 程序 使 用 类 async- 
EventHandler 中 的 方法 能 够 修改 未 完成 事件 的 数目 。 

虽然 事件 处 理 程序 是 一 个 可 调度 的 实体 , 但 它 的 目标 是 不 蒙受 应 用 程序 线程 那样 多 的 开销 。 
因此 ， 不 能 假定 每 个 处 理 程序 有 一 个 独立 的 实现 线程 ， 因 为 与 一 个 特定 的 实现 线程 相关 联 的 处 
理 程 序 可 能 不 止 一 个 。 如 果 需 要 一 个 专用 线程 ， 应 该 使 用 BoundAsyncEventHandler。 


程序 10-2 类 AsyncEvent、AsyncEventHandler 和 BoundAsyncEventHandler 





public class AsyncEvent 


{ 
public AsyncEvent (); 


public synchronized void addHandler (AsyncEventHandler handler); 
public synchronized void removeHandler (AsyncEventHandler handler); 
public void setHandler (AsyncEventHandler handler); 

// 将 一 个 新 的 处 理 程序 同 此 事件 关联 起 来 

// 清除 所 有 已 存在 的 处 理 程序 


public void bindTo (java.lang.String happening); 
// 同 外 部 事件 绑 定 


public ReleaseParameters createReleaseParameters 0: 


// 创建 一 个 ReleaseParameters 对 象 ， 表 示 这 个 事件 的 特征 


public synchronized void fire (); 
// 为 此 事件 执行 处 理 程序 集合 中 的 方法 run () 
public boolean handledBy (AsyncEventHandler target); 
// 车 此 事件 由 此 处 理 程序 处 理 ， 返 回 true 
} 


public abstract class AsyncEventHandler implements Schedulable 
{ 

public AsyncEventHandler (); 

// 参数 是 从 当前 线程 继承 的 


public AsyncEventHandler (SchedulingParameters scheduling, 
ReleaseParameters release, MemoryParameters memory, 
MemoryArea area, ProcessingGroupParameters group); 


，// 其 他 可 用 构造 器 


w 
oo 
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// 实现 Schedulable 接口 的 方法 ， 见 第 13 章 


protected final synchronized int getAndClearPendingFireCount (); 
// 通过 原子 动作 将 此 处 理 程序 的 悬挂 执行 个 数 置 为 0， 

// 并 在 清除 前 将 此 数值 返回 

protected synchronized int getAndDecrementPendingFireCount (); 
protected synchronized int getAndIncrementPendingFireCount (); 


public abstract void handleAsyncEvent (); 
// 和 覆盖 此 方法 ， 以 定义 这 个 处 理 程序 执行 的 动作 
public final void run (); 

} 


public abstract class BoundAsyncEventHandler extends AsyncEventHandler 


{ 
public BoundAsyncEventHandler (); 
// 其 他 构造 器 

} 





10.8 Ada 中 的 异步 控制 转移 


在 POSIX 中 ， 通 过 在 程序 中 的 合适 点 上 阻塞 信号 和 解除 信号 阻塞 ， 可 以 为 信号 处 理 程序 
设置 定义 域 。 然 而 ， 如 果 没 有 语言 的 支持 ， 这 会 变 成 非 结 构 化 的 和 易 出 错 的 。Ada 提 供 了 一 个 
异步 通知 处 理 的 更 结构 化 的 形式 ， 叫 异步 控制 转移 (asynchronous transfer of control, ATC). 
此 外 ， 为 了 强调 ATC 是 一 种 通信 和 同步 的 形式 ， ATC 在 任务 间 通 信 设 施 之 上 建立 这 种 机 制 。 

Ada 的 select 语 句 已 在 第 9 章 介 绍 过 了 。 它 有 如 下 形式 : 

"一 个 选择 性 的 接受 (为 了 支持 会 合 的 服务 器 方 ) 一 一 在 9.4.2 节 讨论 过 ; 

“一 个 限时 和 条 件 入 口 调用 (对 任务 或 保护 入 口 ) 一 一 将 在 12.4.2 节 讨论 ; 

* 一 个 异步 选择 一 一 在 这 里 讨论 。 
异步 选择 语句 用 终止 语义 提供 异步 通知 机 制 。 

异步 选择 的 执行 以 发 出 触发 人口 调用 或 发 出 触发 延迟 开始 。 如 果 触 发 语句 是 一 个 入 口 调 
用 ， 首 先 像 平常 一 样 对 参数 求 值 ， 然 后 发 出 调用 。 如 果 该 调用 被 排队 ， 就 执行 在 可 中 止 部 分 
的 语句 序列 。 

如 果 触 发 语句 在 可 中 止 部 分 的 执行 结束 前 完成 ， 则 可 中 止 部 分 被 中 止 。 当 这 些 活动 完成 
的 时 候 ， 执 行 触发 语句 后 面 的 可 选 语句 序列 。 

如 果 可 中 止 部 分 在 入 口 调用 结束 前 完成 ， 就 试图 撤销 和 人 口 调用 ， 如 果 成 功 ， 就 结束 异步 
选择 语句 的 执行 。 下 面 说 明 它们 的 语法 : 

select 

Trigger.Event; 

-- 在 事件 被 接受 之 后 执行 的 可 选 的 语句 序列 
then abort 

-~ 可 中 止 的 语句 序列 

end select; 
注意 ， 触 发 语句 可 以 是 延迟 语句 ， 因 此 ， 可 中 止 部 分 可 能 与 超时 相关 联 (112.43), 

如 果 触 发 事件 的 撤消 因为 保护 动作 或 会 合 已 经 启动 而 失败 ， 那么 异步 选择 语句 将 在 执行 
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触发 语句 后 面 的 可 选 语句 序列 之 前 等 待 触发 语句 完成 。 

显然 ， 即 使 在 可 中 止 部 分 开始 执行 之 前 ， 仍 有 可 能 发 生 触发 事件 。 在 这 种 情况 下 不 执行 
可 中 止 部 分 ， 可 中 止 部 分 也 因此 不 中 止 。 

研究 下 面 的 例子 : 


task Server is 
entry Atc_Event; 
end Server; 


task To Be Interrupted; 


task body Server is 
begin 


accept Atc Event do 
Seq2; 
end Atc Event; 


end Server; 


task body To Be Interrupted is 
begin 


select -~ ATC 语句 
Server.Atc Event; 
Seq3; 

then abort 
Seql; 

end select; 

Seq4; 


end To Be Interrupted; 


当 上 面 的 AIC 语 句 执行 时 ， 执 行 哪 一 个 语句 要 依赖 于 事件 发 生 的 顺序 : 

if 会 合 立即 可 用 then 
发 出 Server.Atc_Event 
执行 Seq2 
执行 Seg3 
执行 Seq4 ( Seql 从 不 启动 ) 

elsif 在 Seql 完成 前 无 会 合 开始 then 
发 出 Server.Atc_ Event 
执行 Seql 
取消 Server.Atc_Event 
执行 Seq4 

elsif 在 Seql 完成 前 会 合 完成 then 
发 出 Server .Atec Event 
Seq1 的 部 分 执行 同 Seg2 并 发 地 发 生 
Seql 被 中 止 和 终了 化 (finalised) 
执行 Seq3 
执行 Seq4 

else (在 Seql 完成 后 会 合 完成 ) 
AlHServer.Atc Event 
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Seq1l 同 Seq2 的 部 分 执行 并 发 地 执行 

尝试 撤消 Server .Atc Event, {AAR 
Seq2 的 执行 完成 

执行 Seq3 

执行 Seq4 

end if 
注意 ,在 Seq1 完 成 和 会 合 完成 之 间 ， 有 一 个 竞争 条 件 存 在 。 当 Seqgl 确实 完成 但 还 是 被 中 止 
时 就 是 这 种 情形 。 

Ada 克 许 一 些 操作 延期 中 止 (abort deferred )。 如 果 Seql 包 含 一 个 延期 中 止 操作 ， 直 到 操 
作 完 成 才 会 发 生 它 的 撤消 。 对 一 个 保护 对 象 的 调用 就 是 这 种 操作 的 一 个 例子 。 

上 面 的 讨论 集中 于 seql 和 触发 会 合 的 并 发 行为 。 实 际 上 ， 在 多 处 理 器 实现 的 情况 下 ， 
Seql 和 Seq2 有 可 能 并 行 执行 。 然 而 ， 在 单 处 理 器 系统 中 ， 只 有 在 动作 导致 触发 事件 的 优先 
级 比 Seql 更 高 的 情况 下 ， 触 发 事件 才 会 发 生 。 一 般 情况 下 的 行为 是 seq2 抢 占 Seql。 当 
Seq2 (触发 会 合 ) 完成 时 ，seq1 将 在 它 能 再 次 执行 前 中 止 。 因 此 ATC 是 “立即 的 ”( 除非 延 
期 中 止 操作 正在 进行 中 )。 

10.8.1 异常 和 ATC 

对 异步 选择 语句 来 说 ， 有 两 个 活动 可 能 并 发 地 发 生 : 可 中 止 部 分 可 能 和 触发 动作 并 发 执 
行 ( 当 动作 是 一 个 入 口 调用 时 )。 这 些 活动 中 的 任 一 个 都 可 能 引发 异常 ， 并 且 不 处 理 异常 。 因 
此 ， 竺 一 看 可 能 同时 从 选择 语句 传播 两 个 异常 。 然 而 实际 情况 并 不 是 这 样 ， 异 常 之 一 会 被 于 
弃 ( 当 可 中 止 部 分 中 止 时 产生 的 那个 异常 )， 因 此 只 传播 一 个 异常 。 

10.8.2 Ada 和 原子 动作 


在 6.5 节 阐述 过 ， 蜡 常 处 理 可 以 实现 顺序 系统 中 的 向 后 出 错 恢复 。 在 本 节 ， 利 用 Ada 的 
ATC 设 施 和 异常 处 理 来 实现 向 后 和 向 前 出 错 恢复 。 假 定 底层 的 Ada 实 现 和 运行 时 支持 系统 是 无 
故障 的 ， 因 此 Ada 提 供 的 强 类 型 将 保证 Ada 程 序 本 身 是 可 行 的 。 

1. 向 后 出 错 恢 复 

下 面 的 软件 包 是 在 6.5 节 中 为 了 保存 和 恢复 任务 的 状态 而 给 出 的 软件 包 的 类 属 版 本 。 


generic 
type Data is private; 

package Recovery Cache is 
procedure Save (D : in Data); 
procedure Restore (D : out Data); 

end Recovery Cache; 


考虑 希望 进入 一 个 可 恢复 原子 动作 的 三 个 Ada 任 务 。 每 个 任务 调用 下 述 包 中 给 出 的 合适 的 过 
程 。 


package Conversation is 


Procedure Tl (Params : Param); -- 任务 1 调用 
Procedure T2 (Params : Param); -- 任务 2 调用 
Procedure T3 (Params : Param); -- 任务 3 调用 


Atomic Action Failure : exception; 


end Conversation; 
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包 体 封装 动作 ， 并 确保 对 话 期 间 只 允许 在 这 三 个 任务 之 间 进 行 通信 。Controller 保 
护 对 象 负责 把 一 个 任务 中 的 出 错 条 件 传播 到 所 有 的 任务 ， 在 恢复 缓存 里 保存 和 眉 复 持久 的 数 
据 ， 确 保 所 有 的 任务 同时 离开 这 个 动作 。 它 包括 三 个 保护 人口 和 一 个 保护 过 程 。 

* 和 人 和 口 Wait_RAbort 表 示 异 步 事件 ， 当 任务 执行 它们 的 动作 部 分 时 ， 将 在 这 个 事件 上 等 待 。 

* 如果 每 个 任务 无 错 地 完成 其 动作 部 分 ， 它 就 调用 pone。 只 有 当 三 个 任务 都 调用 了 Done 

后 ， 才 允许 它们 离开 。 

。 类似 地 ， 如 果 不 得 不 执行 恢复 ， 每 个 任务 都 调用 cleanup。 

* 如 果 任 何 任务 发 现 了 一 个 出 错 条 件 (或 者 因为 引发 异常 ， 或 者 因为 接受 测试 失败 )， 它 

将 调用 Signal_Abort。 这 将 设置 Killed 为 真 ， 表 示 必 须 恢复 任务 。 
注意 ， 当 执行 向 后 出 错 恢复 时 ， 任 务 并 不 关心 出 错 的 真正 原因 。 当 Killed 变 成 真 以 后 ， 动 作 
中 的 所 有 任务 都 收 到 异步 事件 。 一 旦 事件 得 到 处 理 ， 所 有 的 任务 必须 在 cleanup 人 口 等 待 ， 
以 便 它 们 同时 终止 会 话 模块 。 

with Recovery Cache; 

package body Conversation is 


Uu 
CA 
Uu 


Primary Failure, Secondary Failure, 
Tertiary Failure: exception; 


type Module is (Primary, Secondary, Tertiary); 


protected Controller is 
entry Wait Abort; 
entry Done; 
entry Cleanup; 
procedure Signal Abort; 


private 
Killed : Boolean :- False; 
Releasing Done : Boolean :- False; 


Releasing Cleanup : Boolean :- False; 
Informed : Integer := 0; 
end Controller; 


-- 可 能 有 的 动作 间 通 信用 的 局 部 保护 对 象 


protected body Controller is 
entry Wait Abort when Killed is 
begin 
Informed := Informed + 1; 
if Informed - 3 then 
Killed :- False; 
Informed :- 0; 
end if; 
end Wait Abort; 





O ”实际 上 ， 由 于 Ada 的 作用 域 规则 ， 这 一 点 难以 确保 。 提高 安全 性 的 一 条 途径 是 要 求 包 Conversation 放 在 


库 一 级 ， 并 且 它 的 包 体 只 引用 纯粹 (无 状态 ) 的 包 。 ER 人 1 的 解决 方案 假设 任务 是 行为 良好 的 。 为 了 简 
单 ， 它 还 假设 在 正确 的 时 刻 正确 的 任务 调用 Tl1、T2 和 3。 
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procedure Signal Abort is 
begin 

Killed :- True; 
end Signal Abort; 


entry Done when Done' Count - 3 or Releasing Done is 
begin 
if Done' Count » 0 then 
Releasing Done :- True; 
else 
Releasing Done := False; 
end if; 
end Done; 


entry Cleanup when Cleanup' Count - 3 or Releasing Cleanup is 
begin : 
if Cleanup' Count > 0 then 
Releasing Cleanup :- True; 
else 
Releasing Cleahup :- False; 
end if; 
end Cleanup; 
end Controller; 


pxocedure Tl (Params : Param) is separate; 
procedure T2 (Params : Param) is separate; 
procedure T3 (Params : Param) is separate; 


end Conversation; 


每 个 任务 的 代码 包含 在 单个 过 程 里 : 例如 ?1。 在 这 个 过 程 里 ， 三 次 尝试 执行 动作 。 如 果 所 有 
的 尝试 失败 ， 就 引发 异常 Atomic_Action_Failure。 每 个 尝试 被 一 个 保存 和 恢复 状态 的 调 
用 所 包围 (如 果 尝 试 失败 的 话 )。 每 个 尝试 被 封装 在 一 个 独立 的 局 部 过 程 内 (T1_ Primary 
等 )， 此 过 程 包含 一 个 用 控制 器 执行 所 需 协议 的 “选择 然后 中 止 ” 语 句 。 每 个 任务 用 恢复 缓冲 
保存 本 地 数据 。 l 


separate (Conversation) 
procedure Tl (Params : Param) is 
procedure Tl_Primary is 
begin 
select 
Controller.Wait_Abort; -- 触发 事件 
Controller.Cleanup; -- 等 待 全 体 完 成 
raise Primary Failure; 
then abort 
begin 
-~ 实现 原子 动作 的 代码 
-- 接受 测试 可 能 引发 异常 
if Accept Test = Failed then 
Controller.Signal Abort; 
else 
Controller.Done; -- 完成 信号 
end if; 
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exception 


when others => 
Controller.Signal Abort; 


end; 
end select; 
end Tl Primary; 355 
procedure Tl Secondary is ...; 
procedure Tl Tertiary is ...; 
package My Cache is new Recovery Cache (. .); -- 用 于 局 部 数据 
begin 


My Cache.Save (. . ); 
for Try in Module loop 
begin 
case Try is 
when Primary -» Tl Primary; return; 
when Secondary => Tl Secondary; return; 
when Tertiary -» Tl Tertiary; 
end case; 
exception 
when Primary Failure => 
My Cache.Restore (..); 
when Secondary Failure -» 
My Cache.Restore (..); 
when Tertiary Failure => 
My Cache.Restore (..); 
raise Atomic Action Failure; 
when others => 
My Cache.Restore (..); 
raise Atomic Action Failure; 
end; 
end loop; 
end T1; 


~- 类 似 地 对 T2 和 T3 

图 10-3 说 明了 参与 一 个 会 话 的 任务 的 简单 状态 迁移 图 。 

2. 向 前 出 错 恢 复 

Ada 的 ATC 设 施 与 异常 一 起 用 来 实现 在 并 发 执行 任务 间 带 有 向 前 出 错 恢 复 功能 的 原子 动 
作 。 再 次 分 析 下 面 在 三 个 任务 间 实 现 一 个 原子 动作 的 软件 包 。 | 

Package Action is 


procedure Tl (Params : Param); -- 由 任务 1 调用 
procedure T2 (Params : Param); -- 由 任务 2 调用 
procedure T3 (Params : Param); -- 由 任务 3 调用 


Atomic Action Failure : exception; 
end Action; 


如 同 向 后 出 错 恢复 一 样 ， 包 体 封装 动作 并 且 确 保 只 允许 在 三 个 任务 之 间 进行 通信 。 保 护 
对 象 Controller 人 负责 将 一 个 任务 中 引发 的 异常 传播 到 所 有 任务 ， 并 负责 确保 所 有 的 任务 在 
同一 时 刻 离 开动 作 。 
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执行 并 等 待 中 止 
接受 简 试 失败 
被 中 止 
发 中 止 动作 信和 号 中 止 触发 









HeeWnosd 





等 待 做 完 


引发 模块 失效 异常 


图 10-3 会 话 的 简单 状态 迁移 图 





with Ada.Exceptions; 
use Ada.Exceptions; 
package body Action is 


type Vote_T is (Commit, Aborted); 
protected Controller is 
entry Wait Abort (E: out Exception Id); 
entry Done; 
procedure Cleanup (Vote: Vote T); 
entry Wait Cleanup (Result : out Vote T); 
"procedure Signal Abort (E: Exception Id); 
private 
Killed : Boolean :- False; 
Releasing Cleanup : Boolean := False; 
Releasing Done : Boolean := False; 
Reason : Exception Id; 
Final Result : Vote T :- Commit; 
Informed : Integer :- 0; 
end Controller; 


-- .可 能 有 的 动作 间 通 信用 的 局 部 保护 对 象 


Protected body Controller is 


entry Wait Abort (E: out Exception Id) when Killed is 
begin 
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E := Reason; 

Informed :- Informed + 1; 

if Informed = 3 then 
Killed :- False; 
Informed := 0; 

end if; 


end Wait_Abort; 


entry Done when Done' Count = 3 or Releasing Done is 


begin . 
if Done’ Count > 0 then 
Releasing Done :- True; 
else 
Releasing Done :- False; 
end if; 
end Done; 


procedure Cleanup (Vote: Vote T) is 


begin 
if Vote = Aborted then 
Final_Result := Aborted; 
end if; 


end Cleanup; 


procedure Signal Abort (E: Exception Id) is 


begin 
Killed := True; 
Reason :- E; 


end Signal Abort; 


entry Wait Cleanup (Result: out Vote T) 
when Wait Cleanup' Count = 3 or Releasing Cleanup is 


begin 
Result := Final Result; 
if Wait Cleanup' Count » 0 then 
Releasing Cleanup := True; 
else 
Releasing Cleanup :- False; 
Final Result :- Commit; 
end if; 
end Wait Cleanup; 
end Controller; 


procedure Tl (Params: Param) is 
X : Exception Id; 
Decision : Vote T; 

begin 
select 


Controller.Wait Abort (X); -- 触发 事件 
Raise Exception (X); -- 引发 公共 异常 ， 


then abort 
begin 
-- 实现 原子 动作 的 代码 
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Controller.Done; -- 完成 信号 
exception 
when E: others => 
Controller.Signal Abort (Exception_Identity (E) ); 
end; 
end select; 
exception 
-- 如 果 在 动作 执行 期 间 引发 了 任何 异常 
-- 所 有 任务 必须 参与 恢复 
when E: others => 


-- Exception Identity (E) 已 经 在 所 有 任务 中 引发 


~~ 处 理 异 常 
if Handled Ok then 
Controller.Cleanup (Commit); 
else 
Controller.Cleanup (Aborted); 
end if; 
Controller.Wait Cleanup (Decision); 
if Decision - Aborted then 
raise Atomic Action Failure; 
end if; 
end Tl; 


procedure T2 (Params : Param) is e. 
procedure T3 (Params : Param) is ME 


end Action; 


每 个 动作 部 件 (Tl. T2373) 有 相同 的 结构 。 部 件 执行 带 可 中 止 部 分 的 选择 语句 。 如 果 
有 任何 部 件 指出 一 个 异常 已 被 引发 并 且 未 被 任何 部 件 局 部 处 理 ， 则 保护 对 象 Controller 就 发 
送信 号 给 触发 事件 。 可 中 止 部 分 包含 部 件 的 实际 代码 。 如 果 此 代码 无 错 地 执行 ，controller 
就 会 得 到 通知 : 这 个 部 件 准备 执行 动作 。 如 果 在 可 中 止 部 分 发 生 了 任何 异常 ，controller 就 
会 得 到 通知 并 传送 异常 的 身份 。 与 向 后 出 错 恢复 (在 前 面 的 小 节 中 讲述 过 ) 不 同 的 是 ， 必 须 说 
明 出 错 的 原因 。 

如 果 Controller 收 到 一 个 未 处 理 异常 的 通知 ， 它 将 释放 所 有 在 Wait_Abort 触 发 事件 处 


等 待 的 任务 ( 述 到 的 任务 一 尝试 进入 其 选择 语句 就 会 立即 收 到 这 个 事件 )。 这 些 任务 中 止 它们 


的 可 中 止 部 分 (如 果 已 开始 )， 并 且 由 向 控制 器 发 出 入 口 调用 语句 的 后 面 那个 语句 在 每 个 任务 
中 引发 这 个 异常 。 如 果 这 个 部 件 成 功 地 处 理 了 这 个 异常 ， 任务 指出 准备 执行 这 个 动作 。 否 则 ， 
任务 就 指出 这 个 动作 必须 被 中 止 。 如 果 有 任何 任务 指出 这 个 动作 必须 被 中 止 ， 那么 所 有 的 任务 
将 引发 Atomic_Action Failure 异 常 。 图 10-4 表 示 了 使 用 一 个 简单 状态 迁移 图 的 方法 。 

上 面 的 例子 说 明 用 Ada 编 写 带 有 向 前 出 错 恢复 的 原子 动作 是 可 行 的 。 然而 ， 对 上 面 的 例子 
必须 注意 两 点 : 

° 只 有 要 传递 给 Ccontroller 的 第 一 个 异常 才 在 所 有 的 任务 中 引发 。 不 可 能 并 发 地 引发 异 

常 ， 因 为 在 可 中 止 部 分 引发 的 异常 在 被 中 止 时 丢弃 了 。 

“这 种 方法 不 处 理 离 弃 者 问题 。 如 果 动 作 参 与 者 中 的 一 个 没有 到 达 ， 别 的 参与 者 就 在 这 个 

动作 的 后 面 等 待 。 为 了 应 付 这 种 情况 ， 有 必要 让 每 个 任务 在 动作 控制 器 里 登记 它 的 到 达 ， 
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执行 并 等 待 中 目 
发 中 止 信号 u 触发 中 止 和 m 动作 部 件 完成 







引发 异常 






图 10-4 说 明 向 前 出 错 恢复 的 简单 状态 迁移 图 


10.9 实时 Java 中 的 异步 控制 转移 
Java 的 早期 版 本 允许 一 个 线程 用 下 面 的 方法 异步 地 作用 于 另 一 个 线程 。 


Public final void suspend () throws SecurityException; 


Public final void resume () throws SecurityException; 


public final void stop () throws SecurityException; 
public final void stop (Throwable except) throws SecurityException; 


在 7.3.7 节 讨论 过 方法 suspend 和 resume。 方 法 stop 使 线程 停止 它 的 当前 活动 ， 并 抛 出 一 个 
ThreadDeath 异 常 ， 方 法 stop (Throwable except) 与 此 类 似 ， 只 是 在 这 时 将 作为 参 
数 传递 的 异常 抛 出 。 

上 面 的 方法 现在 都 已 经 过 时 ， 因 此 不 应 再 使 用 。 标 准 Java 现 在 只 支持 下 面 的 方法 : 


public void interrupt () throws SecurityException; 
Public boolean isInterrupted (); 
public void destroy (); 


一 个 线程 能 通过 调用 interrupt 方 法 向 另 一 个 线程 发 出 中 断 信 号。 这 种 动作 的 结果 依赖 于 被 
中 断 线程 的 当前 状态 。 


“如果 被 中 断 线程 阻塞 在 wait、s1leep 或 join 方法 里 面 ， 信和 号 的 到 来 使 该 线程 变 成 可 执 
行 的 ， 并 抛 出 TnterruptedException。 
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* 如果 被 中 断 线 程 正 在 执行 ， 就 设置 一 个 标记 表示 中 断 未 完成 。 这 对 被 中 断 的 线程 没有 立 

即 的 影响 。 相 反 ， 被 调用 线程 必须 进行 周期 性 的 测试 ， 以 检查 被 中 断 线程 是 否 已 经 被 

isInterrupted 方 法 中 断 。 
这 种 做 法 本 身 不 能 满足 在 10.5.1 节 中 概述 的 用 户 需 要 。 

destroy 方 法 和 Ada 中 止 设施 相似 ， 它 破坏 线程 ， 且 不 做 任何 清理 。 

实时 Java 基 于 异步 控制 转移 (ATC) 为 中 断 线程 提供 替代 方法 。 实 时 Java ATC 模 型 和 Ada 
的 模型 相似 ， 在 Ada 中 必须 表明 哪些 代码 能 接收 ATC 请 求 。 然 而 ， 实 时 Java 模 型 在 两 个 重要 方 
面 与 Ada 不 同 。 

1) 实时 Java 模 型 是 与 Java 的 异常 处 理 设施 集成 在 一 起 的 ， 而 Ada 模 型 是 同 选择 语句 和 入 
口 处 理 机 制 集成 在 一 起 的 。 : i 

2) 实时 Java 模 型 要 求 每 个 方法 表明 它 准 备 允 许 ATC 发 生 。ATC 被 延期 ， 直到 线程 正在 这 
样 一 个 方法 里 面 执行 。 相 反 ， 如 果 从 select-then-abort 语 句 调用 了 一 个 子 程序 ，Ada 的 默认 反应 
是 允许 ATC， 必 须 显 式 地 处 理 一 个 延期 的 响应 。 

在 和 另外 的 线程 /任务 交互 期 间 (例如 Java 中 的 同步 语句 /方法 和 Ada 中 的 保护 动作 与 会 合 ) 
或 在 构造 器 和 终了 化 子 句 (finally) 中 ， 两 种 语言 都 延期 ATC。 

实时 Java ATC 模 型 把 Java 异 常 处 理 模 型 和 线程 中 断 扩展 结合 在 一 起 。 最 好 把 这 个 模型 解 
释 成 两 步 。 第 一 步 是 低级 支持 和 整体 方法 ， 第 二 步 是 用 高 级 支持 提供 一 个 处 理 ATC 的 结构 化 
方法 。 使 用 基本 的 ATC 设 施 要 求 三 个 活动 : 

1) 声明 一 个 AsynchronouslyInterruptedException ( AIE) 

2) 标识 可 以 中 断 的 方法 

3) 给 线程 发 送 AsynchronouslyInterruptedException 信 号。 
程序 10-3 展 示 了 类 AsynchronouslyInterruptedException 的 规格 说 明 . 这 些 方 法 将 
在 适当 的 地 方 解 释 ， 现 在 所 需要 的 是 知道 每 个 线程 都 对 应 一 个 类 属 AIE。 


程序 10-3 实时 Java 的 类 AsynchronouslyInterruptedException 


public class AsynchronouslyInterruptedException extends 
Java.lang.InterruptedException 


{ 


public AsynchronouslyInterruptedException 0: 


public synchronized boolean disable 0; 

// 只 在 doInterruptible 里 面 才 是 合法 的 ， 如 果 成 功 ， 返 回 true 
public boolean doInterruptible (Interruptible logic); 
// 在 任何 时 刻 ， 每 个 线程 只 有 一 个 特定 的 Interruptible 可 以 运行 
// 如 果 这 个 Interruptible 被 执行 ， 返回 true， 

Jf 如 果 为 此 线程 已 经 有 一 个 Interruptible 在 进行 ， 返回 false 


public synchronized boolean enable (); 
public synchronized boolean fire (); 


public boolean happened (boolean propagate); 


Public static AsynchronouslyInterruptedException getGeneric (); 
// 返回 AsynchronouslyInterruptedException 
// ‘Exe feRealtimeThread. interrupt () 被 调用 时 生成 的 
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public boolean isEnabled (); 
public void propagate (); 
) 
A 耻 可 以 放 在 和 方法 相关 联 的 throws 列 表 中 。 例 如 ， 分 析 下 面 的 类 ， 它 用 包 提 供 了 一 个 
可 中 汤 服 务 ， 而 包 声 明了 不 可 中 断 的 服务 (也 就 是 , AsynchronouslyInterrupted 
Exception 没 有 被 包含 在 这 些 服务 的 throws 列 表 中 )。 | 


import nonInterruptibleServices.*; 





public class InterruptibleService 


1 
public AsynchronouslyInterruptedException stopNow = 
AsynchronouslyInterruptedException.getGeneric O0; 


public boolean Service () throws AsynchronouslyInterruptedException 
1 
// 散布 有 调用 NonInterruptibleservices 的 代码 
} 
} 
现在 假定 一 个 实时 线程 t+ 已 经 调用 了 这 个 类 的 一 个 实例 以 提供 service: 
public InterruptibleService IS = new InterruptibleService (); 
// 线程 上 的 代码 


if (IS.Service () ) { ... } 
else (...); 


而 另 一 个 线程 中 斯 +t: 

t.interrupt (); 

这 个 调用 的 结果 依赖 于 调用 发 生 时 t 的 当前 状态 。 i 

e 如 果 在 任何 时 刻 t 都 在 一 个 ATC 延 期 段 里 面 执行 ， 将 AsynchronouslyInterrupted- 
Exception 标记 为 悬挂 的 。 当 t 一 旦 离开 ATC 延 期 区 域 并 且 在 throws 列 表 里 声明 了 
AsynchronouslyInterruptedException 的 方法 里 面 执 行 ， 就 抛 出 这 个 异常 。 

。 如 果 t 正 在 一 个 throws 列 表 里 没有 声明 Asynchronous lyInterruptedException 
的 方法 里 面 执行 ( 例如 在 包 honInterruptibleservices 里 的 方法 )， 则 将 此 异常 标 
记 为 悬挂 的 。 当 t 一 返回 (或 调用 ) 到 一 个 在 其 thr ows 列 表 里 声 明了 Asynchronously- 
InterruptedException 的 方法 ， 就 抛 出 这 个 异常 。 

° 如 果 t 正 在 一 个 方法 的 try 块 里 面 执行 ， 而 这 个 方法 在 其 throws 列 表 里 声明 了 
AsynchronouslyInterruptedException， 那 么 就 终 止 这 个 try 块 ， 并 且 控 制 转移 到 
catch 子 句 的 第 一 个 语句 。 如 果 没 有 发 现 合适 的 catch 子 句 ， 就 传播 Asynchronously- 
InterruptedException 到 发 出 调用 的 那个 方法 。 否 则 ， 执 行 合适 的 处 理 程序 ， 并 且 完 
成 Asynchronous 1yYInterruptedqException 处 理 ( 除 : FE 从 处 理 程 序 里 传播 出 AIE )。 

* 如 果 t 在 一 个 方法 的 try 块 之 外 执行 ， 而 这 个 方 法 在 其 throws 列 表 里 声明 了 Asynchr-~ 
onouslyInterruptedException， 那 么 就 终止 这 个 方法 ， 并 且 立 即 在 发 出 调用 的 
那个 方法 里 抛 出 Asynchronous lyInterruptedException. 

* 如 果 t 被 阻塞 在 从 一 个 方法 里 调用 的 wait、 sleep 或 join 方 法 里 面 ， 而 这 个 方法 在 其 
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throws 列 表 里 声明 了 AsynchronouslyInterruptedException， 就 重新 调度 t， 
并 且 抛 出 AsynchronouslyInterruptedException。 

。 如 果 t 被 阻塞 在 从 一 个 方法 里 调用 的 wait ，sleep 或 join 方 法 里 ， 而 这 个 方法 在 其 throws 
列表 里 没有 声明 AsynchronouslyInterruptedException， 就 重新 调度 t， 并 是 将 
Asynchronous1yInterruptedException 标 记 为 悬挂 的 。 当 t 一 返回 到 在 其 throws 列 
表 里 声 明了 Asynchronous1lyInterruptedException 的 方法 ， 就 抛 出 这 个 异常 。 

一 旦 抛 出 了 ATC， 控 制 就 转移 到 适当 的 异常 处 理 程序 ， 并 有 必要 确定 捕获 的 ATC 是 否 就 是 中 
断 线 程 期 望 的 那 一 个 。 如 果 它 是 ， 就 能 处 理 异 常 。 如 果 不 是 ， 应 该 把 异常 传播 给 发 出 调用 的 
方法 。 在 类 AsynchronouslyInterruptedException 中 定义 的 happened 方 法 用 于 此 
目的 。 研 究 下 面 的 代码 : 

import NonInterruptibleServices.*; 


public class InterruptibleService 


1 
public AsynchronouslyInterruptedException stopNow = 
new AsynchronouslyInterruptedException (); 


public boolean Service () throws AsynchronouslyInterruptedException 
{ 
try { 
// 分 散 的 调用 NonInterruptibleservices 的 代码 
} 
catch AsynchronouslyInterruptedException AIE { 
if (stopNow.happened (true) ) { 
// 处 理 ATC 
} 
// 无 else 子 句 ， 参 数 true 指 出 : 
// 如 果 当 前 异常 不 是 stopNow， 就 应 该 被 立即 传播 到 调用 方法 
} 
} 
} 


这 里 ， 当 AIE 被 抛 出 以 后 ， 控制 传递 给 try 块 终点 的 catch 子 句 。 AAsynchronouslyint- 
erruptedException 找 到 一 个 处 理 程序 。 为 了 决定 当前 的 AsynchronouslyInterru- 
PtedException 是 否 是 stopNow， 调用 方法 stopNow .happened。 如 果 stopNow 是 当前 
异常 ， 调 用 返回 真 。 如 果 它 不 是 当前 异常 ， 那 么 当 happeneqd 的 参数 为 true 时 ， 就 传播 异常 。 
如 果 参 数 为 false， 控 制 返回 到 catch 语 句 ， 并 带 一 个 false 值 。 在 用 propagate 方 法 传播 
异常 之 前 ， 线 程 可 能 要 执行 一 些 清理 例 程 : 


catch AsynchronouslyInterruptedException AIE { 
if (stopNow. happened (false) ) { 
// 处 理 ATC 
} else { 
// 清理 
AIE.propagate (); 
} 
} 


1. Interruptiblej£u 


上 面 的 讨论 说 明了 实时 Java 为 处 理 ATC 提 供 的 基本 机 制 。 为 了 便于 它们 的 结构 化 使 用 ， 语 
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言 提供 了 一 个 名 为 Tnterruptible 的 接口 一 一 见 程 序 10-4。 
程序 10-4 ”实时 Java 的 Interruptible 接 口 


public interface Interruptible 


{ 


public void interruptAction ( 
AsynchronouslyInterruptedException exception); 


public void run (AsynchronouslyInterruptedException exception) 
throws AsynchronouslyInterruptedException; 


) 
Ceea 


一 个 希望 提供 可 中 断 方法 的 对 象 通 过 实现 Interruptible 接 口 来 达到 目的 。run 方 法 
就 是 可 中 断 的 方法 ， 如 果 run 方 法 被 中 断 了 ， 系 统 就 调用 方法 interruptAction。 

一 县 实现 了 这 个 接口 ， 就 能 把 这 个 实现 作为 参数 传递 给 类 Asynchronously- 
InterruptedException 中 的 doInterruptible 方 法 。 调用 类 Asynchronously- 
InterruptedException 中 的 fire 方 法 ， 能 中 断 doInterruptible 方 法 。 方 法 
disable, enableflisEnabled XBL xf As ynchronouslyInterruptedException 
的 进一步 控制 。 禁用 的 AsynchronouslyInterruptedException 一 直 延 期 到 被 启用 。 使 
用 后 者 的 例子 在 10.9.1 节 给 出 。 

注意 ， 对 于 一 个 特定 的 AsynchronouslyInterruptedException,，, 每 次 只 有 一 个 
doInterruptible 方 法 是 活动 的 。 如 果 调 用 未 完成 ， 此 方法 立即 返回 一 个 false 值 。 

2. 多 *€AsynchronouslyInterruptedException 

既然 AsynchronouslyInterruptedException 能 延期 ， 多 重 ATC 也 可 能 延期 。 这 种 
情况 可 能 出 现在 一 个 类 ( 它 实现 了 接 DInterruptible) 的 run 方 法 在 AIE 上 调用 方法 
doInterruptible 的 时 候 。 相关 联 的 run 方 法 也 可 能 调用 另 一 个 doInterruptible，。 因 
此 一 个 线程 有 可 能 执行 嵌 套 的 doInterruptible。 研 究 下 面 的 例子 : 

import javax.realtime.*; 

public class NestedATC 

) AsynchronouslyInterruptedException AIEl = new 

AsynchronouslyInterruptedException O; 
AsynchronouslyInterruptedException AIE2 = new 
AsynchronouslyInterruptedException (); 


AsynchronouslyInterruptedException AIE3 - new 
AsynchronouslyInterruptedException 0; 


public void methodl () 
1 

// RATC 延 期 区 
} 


public void method2 () throws AsynchronouslyInterruptedException 
{ 
AIEl.doInterruptible 
(new Interruptible () 
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public void run (AsynchronouslyInterruptedException e) 
throws AsynchronouslyInterruptedException 


methodl (); 
) 
public void interruptAction ( 


AsynchronouslyInterruptedException e) 


if (AIEl.happened (false) ) ( 
// 在 这 里 恢复 

} else { 

‘ish C 

e.propagate (); 


public void method3 () throws AsynchronouslyInterruptedException 
{ 
AIE2.doInterruptible 
(new Interruptible () 
( . 
public void run (AsynchronouslyInterruptedException e) 
throws AsynchronouslyInterruptedException 


method2 (); 
) 
public void interruptAction ( 
AsynchronouslyInterruptedException e) 


if (AIE2.happened (false) ) ( 
// 在 这 里 恢复 

} else { 

// 清理 


e.propagate (); 


public void method4 () throws AsynchronouslyInterruptedException 
1 


AIE3.doInterruptible 
(new Interruptible () 


{ 


public void run (AsynchronouslyInterruptedException e) 
throws AsynchronouslyInterruptedException 
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method3 (); 
} 


public void interruptAction ( 
AsynchronouslyInterruptedException e) 


if (AIE3.happened (false) ) { 
// 在 这 里 恢复 

} else { 

// 清理 

e.propagate (); 


现在 假定 线程 + 创建 了 一 个 NestedaTc 实 例 , 并 且 调 用 method4 , method4 调 用 method3， 
method3 调 用 method2，method2 调 用 method1， 而 method1l 是 ATC 延 期 区 。 假 定 一 个 对 
AIE2.fire () 的 调用 中 断 了 此 线程 ， 这 是 拥有 式 悬 挂 。 因 为 RATE3 处 于 嵌 套 的 更 外 层 ， 如 果 
AIE3 现 在 进入 ,那么 丢弃 AIE2。 如 果 AIE1 进 入 ， 那 么 丢弃 AIE1 (因为 它 处 于 更 低 一 级 )。 一 
且 method1l 返 回 ， 就 抛 出 当前 悬挂 的 AIE。 
实时 Java 和 原子 动作 

本 节 说 明 怎 样 用 实时 Java 的 ATC 设 施 实现 带 有 向 前 出 错 恢 复 的 原子 动作 。 

首先 ， 与 RtomicRctionFailure 异 常 一 起 定义 RtomicRctionException。 

import javax.realtime.AsynchronouslyInterruptedException; 


public class AtomicActionException extends 
AsynchronouslyInterruptedException 
{ 
public static Exception cause; 
public static boolean wasInterrupted; 


} 


public class AtomicActionFailure extends Exception; 


使 用 一 个 和 前 面 定 义 相 似 的 ThreeWwayRecoverableAtomicAction: 


public interface ThreeWayRecoverableAtomicAction { 


public void rolel () throws AtomicActionFailure; 

public void role2 () throws AtomicActionFailure; 

public void role3 () throws AtomicActionFailure; 
} 


可 以 用 与 Ada 相 似 的 结构 实现 一 个 类 Recoverableaction。 
import javax.realtime.*; 
public class RecoverableAction 


implements ThreeWayRecoverableAtomicAction 


protected RecoverableController Control; 
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private final boolean abort = false; 


private final boolean commit = true; 


private AtomicActionException aael, aae2, aae3; 


public RecoverableAction () // 构造 器 


{ 


Control = new RecoverableController (); 


} 


// 用 于 恢复 


aael = new AtomicActionException (); 


aae2 new AtomicActionException (); 


aae3 = new AtomicActionException (); 


class RecoverableController { 


protected boolean firstHere, secondHere, thirdHere; 


protected int allDone; 


protected int toExit, needed; 


protected int numberOfParticipants; 
private boolean committed - commit; 


RecoverableController () 


1 


) 


Synchronized void first () throws InterruptedException 


{ 


} 


synchronized void second () throws InterruptedException 


{ 


} 


synchronized void third () throws InterruptedException 


{ 


} 


synchronized void signalAbort (Exception e) 


t 


// 用 于 同步 

firstHere = false; 

secondHere = false; 

thirdHere = false; 

allDone = 0; 
numberOfParticipants = 3; 
toExit = numberOfParticipants; 
needed = numberOfParticipants; 


while (firstHere) wait (); 
firstHere = true; 


while (secondHere) wait ()3 
secondHere = true; 


while (thirdHere) wait O; 
thirdHere - true; 


allDone - 0; 


AtomicActionException.cause =e 


=e 
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AtomicActionException.wasInterrupted = true; 

// 在 所 有 参与 者 中 引发 AsynchronouslyinterruptedException 
aael.fire (); 

aae2.fire (); 

aae3.fire (); 


) 


private void reset () 
{ 
firstHere = false; 
secondHere = false; 
thirdHere = false; 
allDone = 0; 
toExit = numberOfParticipants; 
needed = numberOfParticipants; 
notifyAll (); 


} 
synchronized void done () throws InterruptedException 
{ 
allDonet++; 
if (allDone == needed) { 
notifyAll (); 
} else while (allDone ! = needed) { 
wait (); 
if (AtomicActionException.wasInterrupted) 
1 
allDone--; 
return; 
H 
) 
toExit--; 
if (toExit -- 0) ( 
reset (); 
) 
H 
synchronized void cleanup (boolean abort) 
1 
if (abort) ( committed - false; }; 
} 
synchronized boolean waitCleanup () throws InterruptedException 
{ 
allDonet+; 
if (allDone == needed) { 


notifyAll (); 
} else while (allDone != needed) { 
wait (); 
} 
toExit--; 
if (toExit == 0) ( 
reset (); 
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} 


return committed; 


public void rolel () throws AtomicActionFailure, 
AsynchronouslyInterruptedException 


boolean Ok; 
// 入 口 协议 
// 直到 原子 动作 里 才 有 AIE 
boolean done = false; 
while (!done) { 
try { 
Control.first (); 
done = true; 
} catch (InterruptedException e) { 
11 忽略 
} 
} 


// 下 面 定义 一 个 可 中 断代 码 段 和 代码 被 中 断 时 调用 的 例 程 
Ok = aael.doInterruptible 
(new Interruptible () 
{ 
public void run (AsynchronouslyInterruptedException e) 
throws AsynchronouslyInterruptedException 
{ 
try { 


// 执行 动作 
// 需要 时 调用 e.disable () 和 e.enable O 以 延期 AIE 


Control.done (); 
e 
} 
catch (Exception x) { 
if (x instanceof (AsynchronouslyInterruptedException)) 


( (AsynchronouslyInterruptedException) X).propagate(); 
else 


Control.signalAbort (x); 


H 


public void interruptAction ( 
AsynchronouslyInterruptedException e) 


// 不 需要 什么 动作 


} 
u 
if (!0k) throw new AtomicActionFailure 0: 
if (aael.wasInterrupted) ( 
try ( 
// 尝试 恢复 
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Control.cleanup (commit); 
if (Control.waitCleanup () != commit) { 
throw new AtomicActionFailure (); 
}; 


} 
catch (Exception x) { 
throw new AtomicActionFailure (); 


} 
} 
} 


public void role2 () throws AtomicActionFailure, 
AsynchronouslyInterruptedException 


(// 类 似 于 rolel }; 


public void role3 () throws AtomicActionFailure, 
AsynchronouslyInterruptedException 


(// 类 似 于 rolel ); 
} 


小 结 


如 果 将 实时 嵌 人 式 系统 用 于 关键 性 应 用 ， 进 程 的 可 靠 执 行 是 最 根本 的 。 当 进程 间 交 互 时 ， 
必须 限制 进程 间 通 信 ， 以 便 在 需要 时 能 编写 恢复 过 程 。 本 章 把 原子 动作 做 为 一 种 机 制 讨论 ， 
通过 这 种 机 制 ， 由 许多 任务 组 成 的 程序 能 够 结构 化 ， 从 而 便于 损害 隔离 和 出 错 恢复 。 

动作 是 原子 的 ， 如 果 它 们 对 其 他 进程 而 言 是 不 可 分 的 和 瞬时 的 ， 使 得 对 系统 产生 的 效果 
就 像 是 它们 被 穿插 执行 而 非 并 发 的 。 原 子 动作 有 定义 良好 的 边界 ， 并 且 能 供 套 。 原 子 动作 中 
使 用 的 资源 在 初始 增长 阶段 分 配 ， 并 作为 后 续 收 缩 阶 段 的 一 部 分 释放 ， 或 在 动作 结束 时 释放 
(如 果 动 作 是 可 恢复 的 )。 

原子 动作 的 语法 可 以 用 动作 语句 表达。 下 列 在 进程 P 中 执行 的 语句 表示 PP 希望 和 P,、P，— 
起 进入 原子 动作 。 

action A with (P;,, P,) do 

-~ 语句 序列 
end A; 
P; 和 Ps 必须 执行 相似 的 语句 。 
会 话 是 带 有 向 后 出 错 恢复 设施 的 原子 动作 (以 恢复 块 的 形式 )。 


action A with (P,, P,) do 
ensure < 接受 测试 > 
by 
-- 基本 模块 
else by 
-- 替代 模块 
else error 
end A; 


在 会 话 的 入口 保存 进程 的 状态 。 在 会 话 内 部 ， 只 允许 进程 同 会 话 内 别 的 活动 进程 和 通用 
资源 管理 器 通信 。 为 了 离开 会 话 ， 会 话 内 的 所 有 活动 进程 必须 通过 接受 测试 。 如 果 有 任何 一 
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会 话机 制 是 有 限 的 ， 因 为 当 有 一 个 会 话 失败 时 ， 所 有 的 进程 都 必须 恢复 ， 并 都 进入 它们 
的 替代 模块 。 这 强迫 相同 的 进程 为 了 达到 期 望 的 效果 而 再 次 通信 ， 进 程 不 能 打 断 会 话 。 然 而 ， 
经 常 当 一 个 进程 通过 与 一 组 进程 通信 没 能 达到 主 模块 内 的 目标 时 ， 它 可 能 希望 在 次 要 模块 内 
和 另 一 组 全 新 的 进程 通信 。 对 话 和 会 谈 消 除了 会 话 的 限制 。 
经 由 异常 处 理 程序 ， 也 可 以 把 向 前 出 错 恢复 加 到 原子 动作 中 。 如 果 有 一 个 进程 引发 了 一 
个 异常 ， 那 么 动作 中 所 有 的 活动 进程 必须 处 理 这 个 异常 。 
action A with (P,, P;) do 
-- 动作 
exception 
when exception a => 
-~ 语句 序列 
when others => 
raise atomic_action_failure; 
end A; 


当 使 用 这 种 方法 时 ， 必 须 解决 的 两 个 问题 是 : 并 发 引发 的 异常 的 分 辨 和 内 部 动作 里 的 异常 。 

很 少 有 主流 的 语言 或 操作 系统 直接 支持 原子 动作 或 可 恢复 的 原子 动作 的 概念 。 然 而 ， 大 
多 数 通信 和 同步 原 语 使 得 原子 动作 的 隔离 特性 能 够 编程 。 为 了 实现 可 恢复 的 动作 ， 要 求实 现 
异步 通知 机 制 。 异 步 通知 机 制 可 能 有 恢复 语义 (在 这 种 情况 下 它 称 作 异步 事件 处 理 机 制 ) 或 
终止 语义 〈 异 步 控制 转移 )。POSIX 用 信号 和 线程 撤销 机 制 支持 异步 事件 。 信 号 可 以 被 处 理 、 
阻塞 或 忽略 。 实 时 Java 也 支持 异步 事件 。 

Ada 和 实时 Java 都 提供 异步 控制 转移 的 终止 模型 。Ada 机 制 建立 在 选择 语句 之 上 。 与 之 相 
比 ， 实 时 Java 的 ATC 集 成 到 异常 和 线程 中 断 机 制 里 面 。 这 些 终止 方法 与 异常 结合 在 一 起 ， 就 能 
够 优雅 地 实现 可 恢复 动作 。 
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练习 
10-1 区 别 原子 动作 和 原子 事务 。 原 子 事务 和 会 话 之 间 有 什么 关系 ? 
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10.2 把 10.2.1 节 中 原子 动作 的 信号 量 实现 从 两 进程 的 交互 扩展 为 三 进程 的 交互 。 

10.3 重 写 10.2.2 节 中 的 原子 动作 的 管 程 突现， 允许 动 作 中 的 两 个 进程 都 是 活动 的 。 

10.4 重 写 10.2.3 节 中 的 Action_X Ada 包 ， 使 它 变 成 控制 一 个 三 任务 对 话 的 通用 包 (提示: 用 
类 属 )。 

10.5 你 给 练习 10.4 的 解决 方案 能 扩展 为 对 付 参与 原子 动作 的 任意 数量 的 任务 吗 ? 

10.6 将 Ada 扩 展 到 能 使 一 个 任务 引发 另 一 个 任务 中 的 异常 的 含义 是 什么 ? 

10.7 将 异步 通知 和 异常 处 理 进 行 比较 和 对 照 。 

10.8 下 面 的 代码 说 明了 两 个 进程 之 间 简 单 对话 。 试 将 它 构造 成 会 谈 。 
X, y, z : INTEGER; 
PROCESS B; 


PROCESS A; 
BEGIN 


ACTION conversation (B) do 
ENSURE A_acceptance_test 
BY 

-- A_primary 
-- 使 用 x, y 
ELSE BY . 
-- À secondary 
-- 使 用 y, 2 
ELSE 
ERROR 
END conversation; 


END A; 
PROCESS B; 
BEGIN 


ACTION conversation (A) do 
ENSURE B acceptance test 
BY 

-- B primary 
-- 使 用 x, y 
ELSE BY 
-~ B_secondary 
-- EH y, z 
ELSE 
ERROR 
END conversation; 


END B; 
10.9 在 10.8.2 节 中 说 明了 在 三 个 Ada 任 务 间 的 向 后 和 向 前 出 错 恢复 。 说 明 怎 样 把 它们 组 合 为 一 


个 解决 方案 ， 从 而 在 相同 的 三 个 任务 间 提 供 向 前 和 向 后 两 种 出 错 恢复 。 
10.10 修改 10.8 节 中 的 解决 方案 ， 使 它 能 处 理 离弃 者 问题 。 
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10.11 研究 下 面 的 四 段 代 码 : 
-- 第 1 段 


select 
T.Call; -- 对 任务 T 的 一 个 人 口 调用 
375 Flag := A; 
or 
delay 10.0; 
Flag := B; 
-- 花 2 秒 执行 的 代码 
end select; 
-- 第 2 段 
select 
T.Call; -- 对 任务 T 的 一 个 人口 调用 
Flag := A; 
else 
delay 10.0; 
Flag := B; 
-~ 花 2 秒 执行 的 代码 
end select; 
-- 第 3 段 
select 
T.Call; -- 对 任务 T 的 一 个 人 口 调用 
Flag := A; 
then abort 
delay 10.0; 
Flag := B; 
-- 花 2 秒 执行 的 代码 
end select; 
-- 第 4 段 
select 
delay 10.0; 
Flag := A; 
then abort 
T.Call; -- 对 任务 z 的 一 个 人 口 调用 
Flag := B; 
-~ 花 2 秒 执行 的 代码 


end select; 

同 T .call 的 会 合 花 费 5 秒 钟 来 执行 。 在 下 面 各 种 情况 下 ， 每 段 代码 执行 以 后 ， 变量 Flag 

的 值 是 什么 。 你 可 以 假定 Flag 赋 值 语句 不 花费 执行 时 间 。 

(1) 当 执 行 选择 语 名 时， 可 以 调用 T .call、。 

(2) 当 执 行 选择 语 名 时，T .call 不 可 调用 ， 并 且 在 随后 的 14 秒 内 仍 不 可 调用 。 

(3) 当 执 行 选择 语 名 时 ，T .call 不 可 调用 ， 但 在 2 秒 后 可 调用 。 

(4) 当 执 行 选择 语句 时 ，T.call 不 可 调用 ， 但 在 8 秒 后 可 调用 。 

10.12 分 析 下 面 的 包 规格 说 明 ， 它 提供 了 一 个 过 程 ， 用 以 在 一 个 大 字符 数组 中 搜索 惟一 的 定 长 

376 字符 串 。 如 果 发 现 了 ， 过 程 就 返回 该 字符 串 的 开始 位 置 。 
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package Search Support is 
type Array Bounds is range 1 .. 1 000 000 000; 
type Large Array is array (Array Bounds) of Character; 
type Pointer is access Large Array; 


type Search String is new String (1.. 10); 


procedure Search ( Pt: Pointer; 
Lower, Upper: Array Bounds; 
Looking For : Search String; 
Found : out Boolean; 
At Location : out Array Bounds); 
end Search Support; 


有 三 个 任务 为 同一 字符 串 对 数组 执行 并 发 的 搜索 ， 它 们 是 从 同一 任务 类 型 派生 出 来 的 : 
task type Searcher (Search_Array: Pointer; 
Lower, Upper: Array_Bounds) is 
entry Find (Looking For : Search String); 
entry Get Result (At Location : out Array Bounds); 
end Searcher; 


发 现 的 字符 串 经 由 一 个 与 任务 的 初始 会 合 传递 。 勾 画 出 这 个 任务 类 型 的 体 (和 任何 别 的 
你 需要 的 对 象 ) ， 使 得 当 一 个 任务 发 现 此 字符 串 时 ， 将 字符 串 的 位 置 立 即 通知 给 所 有 其 他 
任务 ， 以 避免 进一步 的 无 用 搜索 。 假 定 三 个 任务 之 一 将 发 现 Searchstring。 此 外 ， 所 
有 的 任务 必须 准备 通过 GetResult 入 口传 回 结果 。 

10.13 分 析 下 面 的 Ada 代 码 段 ， 


Error l, Error 2 : exception; 
task Watch; 
task Signaller; 


protected Atc is 

entry Go; 

procedure Signal; 
private 

Flag : Boolean :- False; 
end Atc; 


protected body Atc is 
entry Go when Flag is 
begin 
raise Error 1; 
end Go; 


procedure Signal is 
begin 
Flag := True; 
end Signal; 
end Atc; 


task body Watch is 
begin 


eee 
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select 
Atc.Go; 

then abort 
-- dE 100 微 秒 执行 的 代码 
raise Error 2; 

end select; 


exception 
when Error 1 => 
Put Line ("Error 1 Caught"); 
when Error 2 => 
Put Line ("Error 2 Caught"); 
when others => 
Put Line ("Other Errors Caught"); 
end Watch; 


task body Signaller is 
begin 


Atc.Signal; 


end Signaller; 


假设 任务 之 间 的 上 下 文 切换 可 在 任何 时 候 发 生 ， 仔细 描述 此 程序 段 的 可 能 执行 情况 。 

10.14 一 个 特殊 的 基于 POSIX 的 应 用 由 几 个 周期 性 进程 组 成 ， 并 且 有 两 种 操作 模式 : MODE A 
和 MODE B, 应 用 有 一 个 只 运行 于 模式 A 的 进程 。 简要 描述 此 进程 的 设计 ， 假 设 当 系统 
想 进行 模式 转换 时 ， 它 给 所 有 进程 发 送 一 个 信号 ， 以 指出 当前 的 操作 模式 。 还 假设 存在 
一 个 称 做 WAITNEXTPERIOD 的 例 程 ， 它 将 挂 起 进程 ， 直到 它 的 下 一 个 执行 周期 到 来 。 
注意 ， 模 式 改变 应 该 只 在 每 个 周期 开始 时 影响 进程 。 

10.15 解释 Ada 的 OOP 模 型 怎样 用 来 生成 可 扩展 的 原子 动作 。 

10.16 比较 并 对 照 Ada 和 Java 的 异步 控制 转移 模型 。 

10.17 标准 Java 在 哪些 方面 能 被 用 来 实现 原子 动作 ? 

10.18 为 什么 Java 例 程 xesume (), stop () flisuspend () 过 时 了 ? 

10.19 用 实时 Java 重 做 练习 10.14。 

10.20 说 明 怎 样 实现 异常 处 理 的 Ada 终 止 模型 ， 以 响应 POSIX 信 号 的 回执 (receipt). 
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”第 10 章 研究 了 实现 可 靠 的 进程 合作 的 问题 。 在 这 一 章 也 指出 了 如 果 进 程 要 共享 访问 稀有 
资源 ， 例 如 外 部 设备 、 文 件 、 共 享 数据 域 、 缓 冲 区 和 编码 算法 ， 那 么 也 需要 进程 间 的 协调 配 
合 。 这 些 进程 被 称 作 竞 争 (competing) 进程 。 实 时 软件 的 许多 逻辑 〈( 即 非 时 态 的 ) 行为 涉及 
到 竞争 进程 之 间 的 资源 分 配 。 虽 然 进程 并 不 直接 彼此 通信 以 传递 有 关 它们 自身 活动 的 信息 ， 
但 是 它们 可 以 相互 通信 以 协调 对 共享 资源 的 访问 。 只 有 少数 资源 听任 无 限制 地 并 发 访问 ， 然 
而 ， 大 多 数 资 源 的 使 用 是 受 某 些 限制 的 。 

正如 在 第 7 章 指出 的 , 资源 实体 的 实现 需要 某 种 形式 的 控制 代理 。 如 果 控 制 代理 是 被 动 的 ， 
那么 这 个 资源 是 保护 式 的 (protected) (或 同步 式 的 (synchronized))。 否 则 ， 如 果 需 要 主动 
代理 来 安排 正确 的 控制 级 别 ， 那 么 这 种 资源 控制 器 被 称 为 服务 器 (server). 

本 章 将 讨论 可 靠 的 资源 控制 的 问题 。 也 考虑 竞争 进程 之 间 的 一 般 的 资源 分 配 问题 。 虽 然 
这 些 进程 是 彼此 独立 的 ， 但 是 资源 分 配 的 行为 和 可 靠 性 是 有 关系 的 。 尤 其 是 一 个 进程 的 失败 
可 能 导致 分 配给 它 的 资源 不 能 为 其 他 进程 所 用 。 如 果 允 许 一 些 进程 独占 资源 ， 其 他 进程 可 能 
由 于 得 不 到 这 些 资 源 而 饿 死 。 更 有 其 者 ， 当 若干 进程 拥有 其 他 进程 需要 的 资源 、 同 时 又 请 求 
更 多 资源 时 ， 它 们 可 能 变 成 死 锁 的 。 


11.1 资源 控制 和 原子 动作 


虽然 进程 需要 通信 和 同步 以 实现 资源 分 配 ， 但 是 这 不 需要 通过 原子 动作 的 形式 来 实现 。 


这 是 因为 需要 交换 的 信息 仅仅 是 达到 和 谐 的 资源 共享 所 必需 的 信息 ， 不 可 能 交换 任意 的 信息 
(Shrivastava and Banatre，1978)。 因 此 ， 采 用 保护 式 资源 或 服务 器 形式 的 资源 控制 器 能 保证 
任何 对 局 部 数据 的 修改 具有 全 局 可 接受 性 。 如 果 不 是 这 种 情况 ， 那 么 当 一 个 进程 ( 它 已 经 被 
分 配 了 资源 ) 失败 时 ， 可 能 有 必要 将 该 进程 的 失败 通知 所 有 最 近 同 资源 控制 器 通信 的 进程 。 
不 过 ， 一 个 特定 的 进程 同 控制 器 通信 的 代码 应 该 是 原子 动作 ， 因 此 当 该 进程 正在 分 配 或 释放 
资源 时 ， 系 统 中 的 其 他 进程 不 能 中 断 它 。 而 且 ， 资 源 管理 器 和 客户 进程 可 以 使 用 向 前 和 向 后 
出 错 恢复 来 应 付 任何 预期 的 或 非 预 期 的 出 错 情况 。 

虽然 在 上 一 章 指出 过 通常 没有 任何 实时 语言 直接 支持 原子 动作 ， 但 是 可 以 通过 小 心 使 用 
可 用 的 通信 和 同步 原 语 来 达到 这 种 不 可 分 的 效果 。 


w 
ks] 
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112 资源 管理 


模块 性 (特别 是 信息 隐藏 ) 要 求 资源 必须 被 封装 起 来 ， 且 只 能 通过 高 级 程序 接口 来 访问 ， 
例如 ， 在 Ada 中 ， 只 要 在 可 能 情况 下， 都 应 该 使 用 下 面 的 包 : 
package Resource Control is 
type Resource is limited private; 


function Allocate return Resource; 
procedure Free (This_Resource : Resource); 


private 
type Resource is ... 


end Resource Control; 


如 果 资 源 管 理 器 是 服务 器 ， 那 么 Resource_Control 的 体 部 分 应 包含 一 个 任务 (或 一 个 任 
务 类 型 的 访问 对 象 )。 保 护 资源 将 在 包 体内 使 用 保护 对 象 。 

在 occam2 中 ， 资 源 管理 器 的 惟一 形式 是 服务 器 进程 (也 就 是 说 所 有 资源 控制 器 都 必须 编 - 
程 为 主动 服务 器 )。 这 样 的 服务 器 应 该 通过 带 通 道 参 数 的 过 程 (PROC) 来 实例 化 。 

PROC resource.manager ([] CHAN OF Any request, 


[] CHAN OF resource allocate, 
[] CHAN OF resource free) 


利用 基于 管 程 的 同步 ， 诸 如 具有 条 件 变量 和 互 斥 锁 的 POSIX 或 Java 的 同步 类 ， 可 以 将 保护 
资源 自然 地 封装 在 一 个 管 程 内 。 例 如 ， 在 Java 中 : 

public class ResourceManager 

{ 

public synchronized Resource allocate 0: 
public synchronized void free (Resource r); 

P, 

其 他 的 同步 形式 ， 如 忙 等 待 和 信号 量 ， 由 于 没有 给 出 适当 级 别 的 封装 ， 因 此 在 这 一 章 不 
进一步 研究 它们 。 本 章 也 不 直接 评价 条 件 临 界 区 (CCR)， 因 为 保护 对 象 本 质 上 就 是 CCR 的 一 
个 现代 形式 。 

下 一 节 是 关于 各 种 资源 管理 方法 的 表达 能 力 和 易 用 性 的 讨论 。 在 这 个 讨论 之 后 ， 关 于 安 
全 性 的 小 节 将 考虑 资源 控制 器 如 何 能 保护 自己 不 被 误 用 。 


11.3 表达 能 力 和 易 用 性 


Bloom (1979) 提出 了 用 于 资源 管理 的 同步 原 语 的 评价 标准 。 对 用 于 资源 控制 的 同步 原 
语 的 表达 能 力 和 易 用 性 的 分 析 形 成 本 节 的 基础 。 要 评价 的 原 语 包 括 管 程 /同步 方法 (利用 条 件 
同步 )、 服 务 器 ( 带 基于 消息 的 接口 ) 和 保护 式 资源 (作为 保护 对 象 实现 )。 后 两 种 都 为 同步 
使 用 了 守备 ， 因此 这 个 分 析 的 一 个 方面 是 比较 条 件 同步 ( condition synchronization) 和 回避 
同步 (avoidance synchronization )。 
a Bloom 使 用 术语 “表达 能 力 ” 来 表示 语言 表达 同步 约束 需求 的 能 力 。 同步 原 语 的 易 用 性 
括 : 





EET 299 


“易于 表达 每 一 个 同步 约束 ， 

* 易于 将 约束 组 合 起 来 实现 更 复杂 的 同步 方案 。 

在 资源 控制 中 ， 可 以 将 表达 这 些 约束 所 需 的 信息 分 类 如 下 〈 按 Bloom 的 分 类 ): 

“服务 请 求 的 类 型 ; 

* 请 求 到 达 的 顺序 ; 

* 服务 器 的 状态 和 它 管 理 的 对 象 ; 

* 请 求 的 参数 。 

Bloom 的 原始 约束 集合 包括 “对 象 的 历史 ”( 也 就 是 所 有 以 前 服务 请 求 的 序列 )。 这 里 假设 
可 以 扩充 对 象 的 状态 以 包括 所 有 需要 的 历史 信息 。 对 这 个 列表 另外 增加 了 一 条 ， 因 为 Bloom 
没有 包括 它 : 

“客户 的 优先 级 。 

第 13 章 给 出 了 进程 优先 级 的 完整 讨论 。 对 本 章 的 目的 而 言 ， 进 程 的 优先 级 由 进程 的 重要 
性 来 决定 。 

正如 以 上 指出 的 ， 通 常 有 两 种 语言 上 的 方法 来 限制 对 服务 的 访问 (Liskov 等 ，1986)。 第 
一 种 方法 是 条 件 等 待 (conditional wait): 系统 接收 所 有 的 请 求 ， 但 是 如 果 不 能 马上 满足 该 请 
求 ， 就 将 发 出 请 求 的 进程 挂 起 到 一 个 队列 上 。 传 统 的 管 程 代表 了 这 种 方法 : 系统 将 请 求 不 能 
得 到 满足 的 进程 在 一 个 条 件 变量 上 排队 ， 当 能 为 该 请 求 服务 时 恢复 该 进程 。 第 二 种 方法 是 回 
避 (avoidance): 系统 不 会 接受 请 求 除非 能 满足 它们 。 能 安全 地 接受 请 求 的 条 件 被 表示 成 接受 
动作 上 的 守备 。 

以 下 将 分 别 研究 评价 同步 方法 的 五 个 标准 。 
11.3.1 请 求 类 型 

可 以 使 用 操作 请 求 的 类 型 信息 来 决定 一 种 请 求 优先 于 另外 一 种 (例如 : 对 实时 数据 库 的 读 
请 求 优先 于 写 请 求 )。 利 用 基于 管 程 的 同步 和 同步 化 方法 ， 可 以 将 读 和 写 操作 编写 为 不 同 的 过 
程 ， 但 是 根据 管 程 的 语义 ， 对 这 些 管 程 过 程 的 未 完成 调用 可 以 按 任意 的 、 优 先 级 的 或 FIFO 的 
方式 来 处 理 。 因 此 不 可 能 优先 处 理 读 请 求 ， 也 不 可 能 知道 有 多 少 未 完成 的 对 管 程 过 程 的 调用 。 

在 Ada 中 ,不同 的 请 求 类 型 可 以 很 容易 地 用 服务 器 任务 或 保护 对 象 中 的 人 口 来 代表 。 一 个 
请 求 在 得 到 实体 访问 权 之 前 《为 了 在 一 个 人 口上 排队 》， 也 没有 其 他 途径 去 获得 优先 选择 。 但 
是 将 优先 选择 权 给 予 排队 的 特定 请 求 的 一 个 自然 的 方法 是 通过 守备 ， 守 备 使 用 入 口 的 “计数 ” 
(count) 属性 。 以 下 代码 显示 Updata 请 求 优先 于 Modify 请 求 : 

protected Resource Manager is 

entry Update (...); 

entry Modify (...); 

procedure Lock; 

procedure Unlock; 

private 

Manager Locked : Boolean := False; 


end Resource Manager; 
protected body Resource Manager is 


entry Update (...) when not Manager Locked is 
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begin 


end Update; 


entry Modify (...) when not Manager Locked and 
Update' Count = 0 is 
begin 


end Modify; 


procedure Lock is 
begin 

Manager Locked := True; 
end Lock; 


procedure Unlock ‘is 
begin 

Manager Locked := False; 
end Unlock; 


end Resource_Manager; 


对 于 保护 对 象 ， 只 有 入 口 可 以 有 和 守备， 一 旦 过 程 得 到 对 象 的 访问 权 ， 它 们 将 立即 执行 ， 
因此 不 能 使 用 过 程 给 特定 请 求 类 型 予 优先 。 

在 occam2 语 言 中 ， 每 个 请 求 类 型 和 不 同 的 通道 组 相 联系 。 为 了 在 两 个 备 选 动作 之 间 做 出 
选择 ， 服 务 器 进程 必须 使 用 选择 性 等 待 构造 ， 幸 运 的 是 occam2 提 供 了 一 种 选择 性 等 待 的 形式 ， 
该 形式 给 每 个 备 选 一 个 不 同 的 优先 级 。 因 而 可 以 容易 地 按 以 下 方式 构造 update-modify 服 务 器 : 

WHILE TRUE 

PRI ALT 
ALT i=0 FOR max 
Update[i] ? object 
-- 更 新 资源 
ALT j=0 FOR max 
modify[j] ? object 
-- 修改 资源 


请 记 住 如 果 有 任何 操作 请 求 把 信息 传 回 给 调用 者 ， 就 需要 双重 的 交互 : 
WHILE TRUE ` 
PRI ALT 
ALT i=0 FOR max 
update[i] ? object 
-- 更 新 资源 
ALT j-0 FOR max 
read[j] ? Any 


-~ 从 资源 中 抽取 合适 的 成 分 
output[j] ! object 
调用 者 可 发 出 以 下 调用 : 


SEQ 
read{MyChannelToServer ] ! Any 
output [MyChannelToServer ] ? Result 
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PRI ”ALT 的 使 用 给 出 了 一 个 静态 确定 性 选择 。 在 Ada 中 ， 如 果 使 用 在 实时 附件 中 定义 的 
一 个 编 用 (Queuing_Policy)， 可 以 得 到 同 以 上 选择 语句 等 价 的 形式 。 这 个 编 用 为 和 人 日 和 
选择 语句 定义 了 排队 方针 。 它 允许 编程 进行 确定 性 的 选择 (与 此 相对 应 的 是 使 用 文本 顺序 指 
出 优先 级 )， 但 是 这 需要 所 有 调用 任务 有 相同 的 优先 级 (如果 不 是 这 样 ， 那 么 调用 任务 的 优先 
级 优先 于 选择 项 的 静态 顺序 )。 
11.3.2 请 求 顺 序 

某 些 同步 约束 可 以 表示 为 请 求 被 接收 的 顺序 (例如 ,为 了 保证 公平 或 为 了 避免 客户 俄 死 )。 
就 像 已 经 观察 到 的 ， 管 程 通 常 按 FIFO 顺 序 处 理 请 求 ， 因 此 它 立即 满足 这 种 需求 。 在 Ada 中 ， 
如 果 选 择 适 当 的 排队 策略 ， 同 一 类 型 的 未 完成 请 求 ( 调 用 同一 入 口 ) 也 能 用 FIFO 方 式 来 服务 。 
但 是 ， 用 这 种 排队 策略 ， 不 同类 型 的 请 求 ( 例 如 : 在 一 个 选择 语句 内 调用 不 同 的 入 口 ) 以 任 
意 顺 序 得 到 服务 。 这 就 不 受 程序 员 的 控制 。 因 此 ， 没 有 办 法 按 请 求 到 达 的 顺序 为 不 同类 型 的 
请 求 服务 ， 除 非 使 用 FIFO 策 略 并 且 所 有 客户 首先 调用 公共 的 “注册 ”入 口 : 


Server.Register; 





Server.Action (...); 
但 是 这 个 双重 调用 不 是 容易 实现 的 (将 在 11.3.4 节 解释 )。 

利用 occam2 的 一 对 一 (one to one) 指名 结构 ， 按 照 已 发 出 请 求 到 达 的 顺序 处 理 对 单个 
ALT 构 造 的 请 求 是 不 可 能 的 。 可 以 有 许多 服务 通道 供 进程 选择 ， 但 是 进程 不 可 能 检测 哪 一 个 
通道 上 的 进程 等 待 的 时 间 最 长 。 这 里 也 应 该 注意 ，occam2 服 务 器 进程 必须 知道 它 拥有 的 可 能 
的 客户 数量 , 必须 给 每 一 个 客户 分 配 一 个 独立 的 通道 。Ada 的 模型 更 适合 于 客户 - 服务 器 模式 ， 
因为 可 以 有 任意 多 的 客户 调用 一 个 人 口 ， 每 个 人 口 可 以 按 FIFO 上 顺序 来 处 理 。 对 于 服务 器 任务 
和 保护 资源 (对象) 是 这 样 的 。 
11.3.3 服务 器 状态 


只 有 当 服 务 器 和 它 所 管理 的 对 象 处 于 某 种 特定 状态 时 才能 允许 某 些 操作 。 例 如 ， 只 有 当 
一 个 资源 是 空闲 的 才能 分 配 它 ， 只 有 缓冲 区 有 空 槽 时 才能 放 一 个 项 目 到 里 面 。 对 于 回避 同步 ， 
基于 状态 的 约束 被 表示 为 守备 ， 对 于 服务 器 ， 约 束 是 基于 接收 语句 的 位 署 (或 消息 接收 操作 
符 )。 对 于 管 程 ， 约 束 是 用 条 件 变 量 实现 的 ， 因 而 管 程 用 于 描述 状态 同样 是 非常 合适 的 。 
11.3.4 请 求 参数 

服务 器 操作 的 顺序 可 能 受到 包含 在 请 求 参 数 中 的 信息 的 约束 。 这 些 信息 一 般 涉 及 到 请 求 
的 身份 或 大 小 (在 资源 是 可 量化 的 情况 下 ， 如 存储 器 )。 对 于 通用 的 资源 控制 器 ， 可 以 直接 构 
造 一 个 管 程 结构 〈 在 Java 中 )。 一 个 对 资源 集合 的 请 求 包含 一 个 参数 ， 这 个 参数 指出 该 请 求 集 
合 的 大 小 。 如 果 没 有 足够 的 资源 可 用 ， 则 调用 者 被 挂 起 ; 当 有 任何 资源 被 释放 时 ， 系 统 唤醒 
所 有 挂 起 的 客户 ， 以 查看 现在 是 否 能 满足 它们 的 请 求 。 

Public class ResourceManager 


{ 


private final int maxResources = ...} 
private int resourcesFree; 


public ResourceManager () 


{ 








w 
UA 





302 | HUF 





resourcesFree = maxResources; 
} 
public synchronized void allocate (int size) throws 
IntegerConstraintError, InterruptedException 
// W, 6.3.24 IntegerConstraintError[f/JzE Y. 
( . 
if (size > maxResources) throw new 
IntegerConstraintError (1, maxResources, size); 
while (size > resourcesFree) wait (); 
resourcesFree = resourcesFree - size; 


) 


public synchronized void free (int size) 
1 
resourcesFree = resourcesFree + size; 
notifyAll (); 
) 
} 


利用 简单 的 回避 同步 ， 守 备 仅仅 访问 服务 器 的 局 部 变量 (或 保护 对 象 ) ， 直 到 接收 了 调用 
才能 访问 该 调用 携带 的 数据 。 因 此 需要 把 请 求 构造 为 双重 的 交互 。 以 下 将 讨论 一 个 针对 这 个 
问题 的 资源 分 配器 ， 主 要 讨论 如 何 将 这 种 资源 分 配器 构造 成 Ada 中 的 服务 器 。 对 于 (Ada 中 的 ) 
保护 对 象 的 构造 和 occam2 中 的 服务 器 的 构造 留 给 读者 练习 ( 见 练 习 11.3 和 11.4)。 这 个 Ada 例 
子 由 Burns 等 (1987) 给 出 的 一 个 例子 改编 而 来 。 

1. 资源 分 配 和 Ada 一 一 一 个 例子 

在 Ada 中 处 理 这 个 问题 的 办 法 是 将 每 一 个 请 求 类 型 同一 个 人 口 族 相 联系 。 每 个 允许 的 参数 
值 被 映射 到 这 个 族 的 惟一 索引 上 ， 这 样 带 不 同 参数 的 请 求 指向 不 同 的 人 口 。 很 明显 ， 只 有 参 
数 是 离散 类 型 的 ， 这 才 是 适当 的 方法 。 

下 面 的 包 阐明 了 这 种 方法 ， 它 说 明了 由 于 表达 能 力 的 缺乏 导致 了 一 个 复杂 的 程序 结构 
(也 就 是 易 用 性 不 好 )。 然 后 再 次 考虑 一 个 资源 分 配 的 例子 ， 用 请 求 的 大 小 作为 请 求 的 参数 。 
就 像 上 面 指出 的 ， 标 准 的 方法 是 将 请 求 参数 映射 到 入 口 族 的 序 标 上 ， 这 样 不 同 大 小 的 请 求 指 
向 不 同 的 入口 。 对 于 较 小 的 范围 ， 可 以 使 用 先前 描述 的 “请 求 类 型 ”技巧 ， 用 选择 语句 列举 
入 口 族 的 每 个 人 口 。 但 是 ， 对 于 较 大 的 范围 就 需要 一- 个 更 复杂 的 解决 方案 。 

package Resource Manager is 


Max_Resources : constant Integer := ...; 


. type Resource Range is new Integer range 1..Max Resources; 
subtype Instances Of Resource is Resource Range range 1 
procedure Allocate (Size : Instances Of Resource); 
procedure Free (Size : Instances Of Resource); 

end Resource Manager; 


package body Resource Manager is 


task Manager is 
entry Sign In (Size : Instances Of Resource); 
entry Allocate (Instances Of Resource); -- ADK 


entry Free (Size : Instances Of Resource); 
end Manager; 
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procedure Allocate (Size: Instances Of Resource) is 


begin 
Manager.Sign In (Size); -- size 是 一 个 参数 
Manager.Allocate (Size); -- size 是 入 口 族 的 序 标 


end Allocate; 


procedure Free (Size : Instances Of Resource) is 
begin 

Manager.Free (Size); 
end Free; 


task body Manager is 
Pending : array (Instances Of Resource) of 
Natural :- (others => 0); 
Resource Free : Resource Range :- Resource Range' Last; 
Allocated : Boolean; 


begin 
loop 
select 
accept Sign In (Size : Instances Of Resource) do 
Pending (Size) := Pending (Size) + 1; 
end Sign In; 
or 


accept Free (Size : Instances Of Resource) do 
Resource Free :- Resource Free + Size; 
end Free; 
end select; 
loop -- 主 循环 
loop -- 接受 任何 悬挂 的 Sign-In 或 Free, $$ 
select 
accept Sign_In (Size : Instances Of Resource) do 
Pending (Size) :- Pending (Size) * 1; 
end Sign In; 
or 
accept Free (Size : Instances Of Resource) do 
Resburce Free := Resource Free + Size; 
end Free; 
else 
exit; 
end select; 
end loop; 
Allocated :- False; 


for Request in reverse Instances Of Resource loop 
if Pending (Request) » 0 and Resource Free »- Request then 
accept Allocate (Request); 
Pending (Request) :- Pending (Request) - 1; 
Resource Free := Resource Free - Request; 
Allocated :- True; 
exit; -~ 循环 ， 接 受 新 的 Sign_In 
end if; 
end loop; 
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exit when not Allocated; 
end loop; 
end loop; 
end Manager; 
end Resource_Manager; 


管理 器 给 大 请 求 以 优先 。 为 了 获得 资源 ， 需 要 同 管理 器 进行 一 个 两 阶段 的 交互 : 一 个 “签到 ” 
(sign-in) 请 求 和 一 个 “分 配 ”(allocate ) 请 求 。 通 过 在 包 中 封装 管理 器 和 提供 单个 的 过 程 
(Allocate) 去 处 理 请 求 ， 从 而 对 资源 的 用 户 隐藏 了 这 个 双重 交互 。 

当 没 有 未 完成 调用 时 ， 管 理 器 等 待 签到 请 求 或 释放 请 求 (释放 资源 )。 当 一 个 签到 请 求 到 
达 时 ， 它 的 大 小 被 记录 在 悬挂 请 求 的 数组 中 。 然 后 进入 一 个 循环 去 记录 所 有 未 完成 的 签到 请 
求 和 释放 请 求 。 一 旦 不 再 有 请 求 这 个 循环 就 终止 。 

然后 使 用 一 个 fo 循环 去 扫描 悬挂 数组 ， 系 统 接受 那个 它 所 能 接纳 的 最 大 请 求 。 在 有 一 
个 更 大 的 请 求 试图 签到 时 ， 就 重复 执行 主 循环 。 如 果 没 有 可 以 服务 的 请 求 ， 就 退出 主 循环 ， 
管理 器 等 待 新 的 请 求 。 

由 于 需要 双重 会 合 事务 ， 这 个 解决 方案 是 复杂 的 。 它 也 是 昂贵 的 ， 因 为 每 个 可 能 的 请 求 
大 小 都 需要 一 个 人 口 。 

在 SR 语言 (Andrews and Olsson, 1993) 中 可 以 发 现 一 个 简单 得 多 的 系统 。 该 系统 允许 
守备 访问 (也 就 是 引用 ) 参数 。 因 此 ， 仅 当 服务 器 或 保护 资源 知道 自身 处 于 可 以 容纳 请 求 的 
状态 时 ， 它 才 会 接收 一 个 资源 请 求 。 不 需要 双重 调用 。 例 如 (对 于 保护 资源 使 用 类 似 Ada 的 代 
码 ， 但 不 是 合法 Ada 代 码 ): 

protected Resource Control is -- 不 合法 的 Ada 代 码 

entry Allocate (Size : Instances Of Resource); 
procedure Free (Size : Instances_Of Resource); 
private 


Resource Free : Resource Range := Max Resources; 
end Resource Control; 


protected body Resource Control is 


entry Allocate (Size : Instances Of Resource) 


when Resources Free >= Size is -- 不 合法 的 Ada 代码 
begin 


Resource Free := Resource Free - Size; 
end Allocate; 


procedure Free (Size : Instances Of Re source) is 
begin 

Resource Free :- Resource Free + Size; 
end Free; 


end Resource Control; 


虽然 语法 上 很 简单 ， 但 这 种 解决 方案 也 有 不 足 ， 它 不 清楚 在 什么 情况 下 需要 对 守备 或 屏 
障碍 进行 再 求 值 。 这 可 能 导致 低 效 的 实现 。 一 个 替代 方法 是 保持 守备 的 简单 性 ， 但 是 通过 增 
加 一 个 重 排队 设施 来 增强 通信 机 制 的 表达 能 力 。 在 11.4 节 将 详细 解释 这 一 点 ， 然 而 ， 本 质 上 
说 ， 这 种 方法 允许 一 个 已 接受 的 调用 (也 就 是 通过 了 守备 求 值 的 调用 ) 在 一 个 新 人 口 (或 完 
爹 一 样 的 入 口 ) 重 排队 ， 在 该 人 口 它 必 须 再 次 通过 守备 。 下 面 说 的 东西 也 激发 了 对 重 排队 设 
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施 的 需求 。 

2. 双重 交互 和 原子 动作 

在 上 面 的 讨论 中 ， 给 出 的 Ada 和 occam2 的 两 个 例子 都 需要 客户 进程 对 服务 器 发 出 双重 调 
用 。 必 须要 进行 双重 交互 的 主要 因素 之 一 是 简单 的 回避 同步 缺乏 表达 能 力 。 因 此 ， 为 了 编写 
可 靠 的 资源 控制 过 程 ， 这 种 结构 必须 用 原子 动作 来 实现 。 在 occam2 中 ， 双 重 调用 

SEQ 


read[MyChannelToServer] ! Object 
output[MyChannelToServer] ? Result 


形成 了 一 个 原子 动作 ， 因 为 可 以 保证 客户 会 读 取 已 经 发 送 了 请 求 的 对 象 (与 此 类 似 ， 保 证 服 
务 器 送出 了 数据 )。 令 人 遗憾 的 是 Ada 不 能 做 出 这 种 保证 (Wellings 等 ，1984 )。 在 两 次 调用 之 
间 ， 也 就 是 “签到 ”之 后 “分 配 ” 之 前 ， 从 “原子 动作 ”的 外 面 可 以 看 到 客户 的 中 间 状 态 : 

begin 

Manager.Sign In (Size); 

Manager.Allocate (Size); 

end; 


另 一 个 任务 可 能 在 两 次 调用 之 间 中 止 该 客户 ， 在 这 个 意义 上 说 ， 这 个 中 间 状 态 是 可 观察 的 ， 
它 给 服务 器 留 下 了 一 些 困 难 : 

* 如果 服 务 器 假设 客户 将 发 出 第 二 个 调用 ， 那 么 这 个 中 止 将 使 服务 器 变 为 等 待 状态 ， 它 等 

待 客户 的 下 一 次 调用 (因而 发 生死 锁 )。 

* 如 果 服 务 器 保护 自己 不 受 客户 的 中 止 的 影响 (通过 不 等 待 不 确定 的 第 二 次 调用 )， 那 么 当 

客户 仅仅 是 稍 慢 发 出 调用 时 ， 服 务 器 可 以 假定 客户 已 经 中 止 了 ， 因 此 客户 被 错误 地 阻塞 。 

在 实时 软件 的 上 下 文中 ， 已 经 提出 了 三 种 方法 来 处 理 这 种 中 止 问题 : 

* 定义 中 止 原 语 以 应 用 到 原子 动作 上 ， 而 不 是 进程 上 ， 当 同 服务 器 通信 时 可 以 使 用 向 前 或 

向 后 的 出 错 恢复 。 

“假定 中 止 只 用 于 原子 动作 的 分 解 并 不 重要 的 极端 情形 下 。 

“试图 保护 服务 器 免 受 客户 中 止 的 影响 。 

在 Ada 中 ， 第 三 种 方法 涉及 到 通过 重 排队 第 一 次 调用 而 消除 对 双重 调用 的 需要 (而 不 是 让 
客户 发 出 第 二 次 调用 )。 就 像 上 面 指出 的 ， 这 一 点 将 在 讨论 过 最 后 一 个 的 评价 标准 后 在 11.4 节 
再 详细 解释 。 

11.3.5 请 求 者 优先 级 

”评价 资源 管理 同步 原 语 的 最 后 一 个 标准 涉及 客户 优先 级 的 使 用 。 如 果 进 程 集合 是 可 运行 
的 ， 那 么 分 派 器 可 以 根据 优先 级 安排 进程 的 执行 。 但 是 分 派 器 不 能 控制 已 挂 起 的 等 待 资源 的 
进程 。 因 此 有 必要 通过 客户 进程 的 相对 优先 级 来 约束 资源 管理 器 的 操作 顺序 。 

在 Ada、 实 时 Java 和 POSIX 中 可 以 定义 一 个 按 优先 级 顺序 的 排队 策略 ， 但 是 通常 在 并 发 程 
序 设计 语言 中 ， 进 程 通过 信号 量 或 条 件 变量 这 样 的 原 语 用 任意 的 或 FIFO 的 方式 来 启动 ， 管 程 
在 入 口上 通常 使 用 FIFO 方 式 ， 选 择 性 等 待 通常 使 用 任意 的 或 静态 的 文本 优先 级 顺序 。 在 后 
种 情形 中 ， 可 以 安排 客户 通过 不 同 的 接口 (如 入 口 或 通道 ) 来 访问 资源 。 对 于 小 的 优先 级 范 
介 LaiE 记 全 了 沸 本 类 型 约束 。 对 于 大 的 优先 级 范围 ， 它 等 价 于 请 求 条 数 ， 因 而 能 使 用 前 面 已 

绍 的 方法 。 
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虽然 通常 说 管 程 有 一 个 FIFO 的 排队 原则 ， 但 这 并 不 是 一 个 根本 特性 。 很 明显 ， 管 程 可 能 
按 优先 级 排序 。 其 实 ， 在 管 程 的 POSIX 和 实时 Java 实 现 中 ， 不 仅 允 许 优先 级 队列 ，( 从 概念 上 
WE) 也 允许 将 外 部 队列 (等 待 进入 管 程 的 进程 ) 和 内 部 队列 (通过 条 件 变 量 发 信号 启动 的 进 
程 ) 合并 ， 以 给 出 一 个 单一 的 优先 级 排序 队列 。 因 此 一 个 等 待 访问 管 程 的 高 优先 级 进程 将 优 
先 于 内 部 启动 的 进程 。 

11.3.6 小 结 

在 以 上 的 讨论 中 ， 使 用 了 五 个 要 求 去 判断 当前 语言 结构 处 理 一 般 的 资源 控制 是 否 合适 。 
管 程 利用 它 的 条 件 同步 很 好 地 处 理 了 请 求 参数 ; 基于 回避 的 原 语 在 处 理 参 数 方面 需要 加 强 ， 
但 它 在 处 理 请 求 类 型 方面 有 优势 。 

但 是 应 该 指出 的 是 这 些 要 求 并 不 是 彼此 相 容 的 。 在 客户 的 优先 级 和 请 求 到 达 的 顺序 之 间 ， 
或 在 被 请 求 的 操作 和 请 求 者 的 优先 级 之 间 也 许 存在 冲突 。 例 如 ， 在 occam2 中 (利用 它 的 确定 
性 选择 等 待 )， 通 过 以 下 程序 可 以 给 update 请 求 分 配 一 个 超过 modify 请 求 的 优先 级 : 

WHILE TRUE 

PRI ALT 
ALT i=0 FOR max 
update[i] ? object 
-- 更 新 资源 
ALT j=0 FOR max 
modify(j] ? object 
-~ 修改 资源 
但 是 ， 如 果 modify 的 调用 者 的 优先 级 高 于 update 的 调用 者 的 优先 级 ， 那 么 modify 操 作 将 
首先 执行 。 这 些 目标 不 能 都 得 到 满足 ， 因此 需要 完善 同步 原 语 ， 使 它 允 许 编程 者 用 一 种 结构 
化 的 方法 来 处 理 这 种 冲突 。 

我 们 已 经 说 明了 必须 将 客户 同 资源 管理 器 的 交互 构造 成 原子 动作 。 没 有 直接 的 语言 原 语 
支持 原子 动作 ， 中 止 和 异步 控制 转移 (ATC) 使 这 个 问题 更 加 困难 ， 进 程 可 能 被 异步 地 从 管 
程 中 清除 ， 或 者 在 对 服务 器 进程 的 两 次 相关 调用 之 间 被 终止 。 中 止 被 用 于 消除 出 错 的 或 元 余 
的 进程 。 如 果 正 确 地 构造 了 一 个 管 程 ， 那 么 可 以 假定 一 个 无 赖 进程 在 管 程 中 不 会 造成 伤害 
(假定 只 是 在 这 个 进程 进来 之 后 才 知道 它 是 个 无 赖 )。 同 样 如 果 一 个 无 赖 客户 正 等 待 第 二 次 同 
步调 用 ， 它 也 不 会 对 管 程 造成 伤害 。 

所 以 ， 有 一 些 进 程 不 应 被 中 止 (更 准确 地 说 是 中 止 仍 将 发 生 但 被 推迟 ) 的 很 明确 的 情形 。 
于 是 产生 了 延期 中 止 区 (abort-deferred regions) 的 概念 。 

Java 中 有 延期 AFC 区 的 概念 ( ATC-deferred region). 但 是 Java 的 destroy 方 法 引起 了 资源 
控制 器 的 问题 ， 因 此 应 该 不 使 用 它 。 同 样 的 理由 ， Java 的 Thread 类 中 过 时 的 方法 也 不 应 使 用 。 

Ada 将 保护 对 象 (以 及 会 合 ) 的 执行 定义 为 延期 中 止 区 。 可 是 ， 同 资源 控制 器 的 交互 通常 
可 能 处 于 挂 起 状态 ， 并 且 不 能 从 保护 对 象 内 部 进行 这 样 的 调用 。 例 如 ， 不 能 将 对 一 个 服务 器 
任务 的 双重 调用 封装 在 保护 对 象 里 面 。 然 而 ， 正如 前 面 指出 的 ， 重 排队 方法 解决 了 许多 这 样 
的 资源 控制 问题 ， 这 将 在 下 一 节 描 述 。 


11.4 重 排队 设施 
通过 对 Bloom 标 准 的 讨论 可 以 看 出 ， 回 避 同 步 是 编写 资源 管理 器 的 更 结构 化 的 方法 ， 但 是 
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同 低 层 条 件 同步 相 比 它 缺 乏 表 达能 力 。 增 强 回避 同步 可 期 性 的 一 个 方法 是 增加 重 排 队 设 施 。 
Ada 语 言 有 这 样 的 设施 ， 因 此 下 面 的 讨论 将 集中 在 这 种 语言 模型 上 。 

重 排队 中 的 关键 概念 是 将 一 个 任务 (已 经 通过 了 一 个 守备 或 屏障 的 任务 ) 移 开 使 之 远离 
另 一 个 守备 。 作 为 模拟 ， 考 虑 一 个 人 【任务 ) 等 待 进入 一 个 有 一 个 或 多 个 门 (守备 入 口 ) 的 
房间 (保护 对 象 )。 一 旦 位 于 房间 里 面 ， 这 个 人 可 以 被 从 这 个 房间 逐 出 ( 重 排队 )， 并 马上 将 
它 放 入 另 一 个 (可 能 是 关闭 的 ) 门 的 后 面 。 

Ada 人 允许 在 任务 入 口 和 保护 对 象 入口 之 间 重 排队 。 重 排队 可 以 是 在 同一 入 口上 、 同 一 个 单 
元 的 另 一 个 人 人 口上、 或 者 完全 是 在 另 一 单元 上 。 也 允许 从 任务 入 口 到 保护 对 象 人 口 的 重 排队 
(反之 亦 然 )。 但 是 ， 重 排队 的 主要 用 途 是 发 送 调用 任务 到 同一 单元 (该 单元 是 重 排队 执行 的 
地 方 ) 的 不 同人 口上 。 

在 10.8.2 布 给 出 了 实现 向 前 出 错 恢 复 和 利用 Controller 实 现 双重 交互 的 代码 (也 就 是 ， 
调用 cleanup， 然 后 接着 调用 Wait Cleanup). 通过 在 保护 入 口 里 面 的 在 Wait cleanup 上 
的 重 排队 ， 就 可 以 将 双重 调用 改 为 对 cleanup 的 单个 调用 (Wait Cleanup/E RA AT): 


entry Cleanup (Vote:Vote T;Result : out Vote T) when True is 


begin 
if Vote - Aborted then 
Final Result := Aborted; 
end if; 


requeue Wait Cleanup with abort; 
end Cleanup; 


with abort 设 施 将 在 以 后 描述 。 该 调用 的 结果 是 将 调用 任务 移 到 Wait_clieanup 入 口 
(就 像 从 外 部 发 出 调用 )。 重 排队 语句 的 执行 终止 了 原来 的 被 调用 入 口 的 执行 。 

资源 控制 问题 提供 了 另 一 个 重 排队 应 用 的 例子 。 在 以 下 算法 中 ， 将 一 个 不 成 功 的 请 求 重 
排队 到 保护 对 象 的 私有 入 口 ( 称 为 Assign)。 现 在 这 个 保护 对 象 的 调用 者 仅 对 Request 发 出 
了 单个 调用 。 无 论 何 时 释放 了 资源 ， 都 有 记录 记载 Assign 人 口上 有 多 少 任务 。 这 些 任务 可 以 
BR, 要么 获得 分 配 ， 要 么 在 同一 个 Assign 入 口 的 最 后 重 排队 。 最 后 重 试 的 任务 打开 屏障 : 


type Request Range is range 1..Max; 


Protected Resource Controller is 
entry Request (R : out Resource; Amount : Request Range); 
procedure Free (R : Resource; Amount : Request Range); 
private 
entry Assign (R : out Resource; Amount : Request Range); 
Freed : Request Range := Request Range' Last; 
New Resources Released : Boolean :- False; 
To Try : Natural :- 0; 


end Resource Controller; 


protected body Resource Controller is 
entry Request (R : out Resource; Amount : Request Range) 
when Freed » 0 is 
begin 
if Amount «- Freed then 
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Freed : = Freed ~ Amoumt; 
392 -- 分 配 
else 


requeue Assign; 
end if; 
end Request; 


entry Assign (R : out Resource; Amount : Request_Range) 
when New_Resources_Released is 


begin 
To Try : = To Try - 1; 
if To Try - 0 then 
New Resources Released :- False; 
end if; 
if Amount <= Freed then 
Freed := Freed - Amount; 
-- 分 配 
else 


requeue Assign; 
end if; 
end Assign; 


procedure Free (R : Resource; Amount : Request Range) is 


begin 
Freed :- Freed * Amount; 
-- 释放 资源 


if Assign' Count > 0 then 
To_Try := Assign' Count; 
New_Resources_Released := True; 
end if; 
end Free; 


end Resource_Controller; 


要 注意 的 是 只 有 Assign 入 口 的 排队 原则 是 FIFO 的 ， 这 个 算法 才能 工作 。 基 于 优先 级 的 
算法 留 给 读者 作 练 习 (练习 11.5)。 

应 当 看 到 如 果 保 护 对 象 记 录 了 最 小 的 未 完成 请 求 ， 那么 能 够 得 到 一 个 更 高 效 的 算法 。 如 
果 Freed>=smallest， 那 么 应 该 只 在 Free 中 打开 屏障 (或 在 Assign 中 仍然 打开 )。 

然而 ， 即 使 使 用 这 样 的 解决 方案 ， 给 某 些 请 求 分 配 一 个 不 同 于 FIFO 或 任务 优先 级 排序 的 
优先 级 也 是 困难 的 。 就 像 早先 指出 的 ， 编写 这 个 级 别 的 控制 程序 需要 一 个 入 口 族 。 但 是 利用 
重 排 队 可 以 给 出 一 个 改进 的 结构 ， 而 不 是 用 以 下 方法 : 


procedure Allocate (Size:Instances Of Resource) is 


begin 
Manager.Sign In (Size); -- size 是 一 个 参数 
Manager.Allocate (Size); -- size 是 一 个 族 序 标 


end Allocate; 


和 一 个 包含 
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accept Sign_In (Size:Instances_Of Resource) do 
Pending (Size) := Pending (Size) + 1; 
end Sign_In; 

的 服务 器 任务 ， 通 过 以 下 方法 可 以 使 双重 调用 成 为 原子 动作 : 
procedure Allocate (Size : Instances Of Resource) is 
begin 

Manager.Sign In (Size); -- size 是 一 个 参数 
end Allocate; 

All 
accept Sign In (Size : Instances_Of Resource) do 

Pending (Size) := Pending (Size) + 1; 
requeue Allocate (Size); 
end Sign In; 
通过 将 Al1locate 入 口 变 为 私有 的 可 以 使 这 个 服务 器 任务 更 安全 : 
task Manager is 
entry Sign In (Size : Instances Of Resource); 
entry Free (Size : Instances_Of_Resource); 
private 
entry Allocate (Instances Of Resource) 
(Size : Instances Of Resource); 
end Manager; 


这 个 算法 不 仅 比 先前 给 出 的 算法 更 直接 ， 而 且 也 有 一 个 优点 ， 那 就 是 任务 在 将 自身 从 一 个 
入 口 队 列 上 移 除 (在 计数 属性 已 经 承认 了 它 的 存在 后 ) 这 一 点 上 ,该 算法 是 有 弹性 的 。 一 日 
一 个 任务 已 经 被 重 排队 ， 它 不 可 能 被 中 止 或 受制 于 在 入 口 调用 上 的 超时 一 一 见 以 下 的 讨论 。 
11.4.1 重 排队 的 语义 ' 

. 重要 的 是 要 意识 到 重 排队 不 是 一 个 简单 的 调用 。 如 果 过 程 P 调 用 过 程 Q9,， 那 么 在 Q 结 束 后 ， 
控制 被 传 给 P。 但 是 如 果 和 人 口 X 在 和 DY 上 重 排队 ， 控 制 就 不 传 回 给 X。 在 Y 结 束 后 ， 控 制 传 回 
到 调用 X 的 对 象 。 因 此 ， 当 入 口 或 接受 体 执行 了 重 排队 后 ， 接 受 体 就 结束 了 。 

这 种 情况 的 一 个 后 果 是 ， 当 重 排队 是 从 一 个 保护 对 象 到 另 一 个 保护 对 象 时 ， 一 旦 任务 进 
行 了 重 排队 就 放弃 了 原来 对 象 上 的 互 斥 。 等 待 进入 第 一 个 对 象 的 其 他 任务 将 能 够 做 到 这 一 点 。 
但 是 ， 重 排队 到 同一 个 保护 对 象 将 保留 互 斥 锁 (如 果 目 标 入 口 是 打 开 的 )。 

重 排 队 语句 中 命名 的 人 口 (叫做 目标 (target) AD) 要 么 没有 参数 ， 若 有 参数 ， 参 数 剖 
面 要 同 发 出 重 排队 指令 的 入 口 (或 接受 ) 语句 中 的 参数 等 价 ( 即 类 型 相 容 )。 例 如 ， 在 资源 控 
制程 序 中 ，&Assign 的 参数 要 同 A1locate 的 参数 一 样 。 因 为 这 个 规则 ， 调 用 时 不 必 给 出 实际 
参数 ， 其 实 是 禁止 调用 时 给 出 实际 参数 (以 防 程序 员 试图 改变 它们 )。 因 此 ， 如 果 目 标 信 口 没 
有 参数 ， 就 没有 传递 信息 ; 如 果 它 有 参数 ， 那 么 把 执行 重 排队 的 实体 中 的 相应 参数 映射 到 目 
标 信 口 。 因 为 这 个 规则 ， 先 前 给 出 的 从 多 个 不 同 入 口 得 到 FIFO 排 序 的 算法 一 也 就 是 使 用 单 
个 注册 入口 的 算法 : 

Server.Register; 


Server.Action (-.-);7 


不 能 使 用 重 排队 方法 编写 为 单个 的 调用 (Bb A EE 2 VERO e ay RE LTR EY ) 
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在 重 排队 语句 中 可 以 使 用 with ab6rt 子 句 选 项。 通常 当 一 个 任务 在 人 口 队列 中 时 ， 它 将 久 
在 那儿 直到 得 到 服务 ， 除 非 它 发 出 一 个 限时 入口 调用 (参见 12.4.2 节 ) 或 由 于 使 用 异步 控制 转 
移 或 中 止 移 除 它 。 一 旦 任务 被 接受 了 (或 开始 执行 一 个 保护 对 象 的 入 口 ) ， 就 取消 任务 的 超时 
et fal, 推迟 任何 中 止 尝试 的 影响 ， 直 到 任务 从 入 口中 出 来 。 然 而 ， 有 一 个 问题 是 关于 重 排 队 
的 后 果 是 什么 。 研 究 中 止 问 题 ， 很 明显 有 两 个 观点 : 

* 由 于 第 一 个 调用 已 经 被 接受 ， 中 止 应 当 仍然 推迟 ,以 保证 任务 或 保护 对 象 进行 第 二 个 调 

用 。 

。 如 果 重 排队 将 调用 任务 放 回 和 人 口 队列 ,那么 中 止 就 应 是 再 次 可 能 的 。 

对 于 超时 也 有 一 个 类 似 的 论证 。 重 排队 语句 允许 用 这 两 种 观点 编程 ， 默 认 情况 是 不 允许 
进一步 的 超时 或 中 止 ， 加 上 with abort 子 句 使 得 能 够 将 任务 从 第 三 个 入 口 清除 。 例 如 ， 在 本 节 
开始 给 出 的 向 前 出 错 恢复 算法 就 需要 这 些 语义 。 

(决定 是 否 使 用 with abort 的 ) 真正 问题 是 : 在 守备 或 屏障 打开 时 ， 把 客户 任务 重 排队 的 保 
护 对 象 (或 服务 器 任务 ) 是 否 预 计 客户 任务 就 在 那里 。 ehh 
现 ， 那 么 不 应 该 使 用 with abort. 

1.4.2 重 排队 到 其 他 人 入口 

虽然 重 排队 到 同一 实体 代表 了 重 排 队 的 一 般 的 用 法 ， 但 是 也 有 使 用 这 个 语言 特性 的 最 为 
一 般 性 的 情形 。 

考虑 资源 被 一 个 对 象 的 层次 体系 控制 的 情况 。 例 如 ， 一 个 网 络 路 由 器 可 以 选择 三 个 通信 
线路 传送 消息 : Line_A 是 首选 路 径 ， 但 是 如 果 它 超载 了 ， 使 用 Line_B， 如 果 它 也 超载 了 ， 
使 用 Line_c。 每 条 线路 由 一 个 服务 器 任务 控制 ， 它 是 一 个 活动 实体 ， 因为 它 要 执行 整理 
(housekeeping) 操作 。 一 个 保护 单元 作为 路 由 器 的 接口 : 它 决定 使 用 三 个 通道 中 的 哪 一 个 ， 
然后 使 用 重 排队 传递 请 求 到 合适 的 服务 器 。 这 个 解决 方案 的 结构 见 图 11-1， 程序 如 下 : 






发 出 入 口 调用 






发 出 入 口 调用 





重 排队 





图 11-1 网 络 路 由 器 





AF Red 


type Line Id is (Line A, Line B, Line C); 
type Line Status is array (Line Id) of Boolean; 


task type Line Controller (Id : Line Id) is 
entry Request (...); 
end Line Controller; 


protected Router is 
entry Send (...); -- 与 Request 相 同 的 参数 剖面 
procedure Overloaded (Line : Line_Id); 
procedure Clear (Line : Line_Id); 

private 
Ok : Line Status := (others => True); 

end Router; 

La : Line Controller (Line A); 

Lb : Line Controller (Line B); 

Lc : Line Controller (Line C); 


task body Line Controller is 
begin 
loop 
select 
accept Request (...) do 
-- 服务 请 求 
end Request; 
or 
terminate; 
end select; 
-- 整理 操作 ， 可 能 包括 
Router.Overloaded (Id); 
-- 或 者 
Router -Clear (Id); 
end loop; 
end Line Controller; 


protected body Router is 


entry Send (...) when Ok (Line A) or Ok (Line B) or Ok (Line C) is 


begin 
if Ok (Line A) then 
requeue La.Request with abort; 
elsif Ok (Line B) then 
requeue Lb.Request with abort; 
else 
requeue Lc.Request with abort; 
end if; 
end Send; 


procedure Overloaded (Line : Line Id) is 
begin 
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Ok (Line) := False; 
end Overloaded; 


procedure Clear (Line : Line_Id) is 


begin 
‘Ok (Line) := True; 
396 end Clear; 
2 
397 end Router; 


1.5 不 对 称 指名 和 安全 性 


在 具有 直接 对 称 指 名 的 语言 中 ， 服 务 器 进程 (或 保护 资源 ) 总 是 知道 它 处 理 的 客户 进程 
的 身份 。 对 于 基于 一 对 一 中 介 (如 occam2 中 的 通道 ) 的 间接 指名 方案 也 是 这 样 。 但 是 ， 不 对 
称 指名 导致 服务 器 不 知道 客户 的 身份 。 前 面 曾 指出 ， 它 的 优点 是 能 编写 通用 服务 器 ， 但 导致 
较 差 的 资源 使 用 的 安全 性 。 特 别 是 服务 器 可 能 希望 知道 客户 的 身份 以 便 : 

“出 于 预防 死 锁 ( 见 11.7 节 ) 的 考虑 或 公平 考虑 ( 若 满 足 该 请 求 对 其 他 客户 就 不 公平 ) dB 

。 保 证 资源 只 能 由 占用 它 的 进程 释放 。 

在 CHILL 中 ， 进 程 与 一 个 实例 或 名 字 相 关联 ( 见 9.6 节 )， 这 使 资源 控制 器 (在 CHILL 中 称 为 
区 ) 知道 调用 进程 的 身份 。 在 Ada 中 用 任务 标识 ( 见 7.3.6 节 ) 或 在 Java 中 用 Thread .current 
Thread 可 以 编写 一 个 相似 的 设施 。 考 虑 一 个 简单 的 Ada 资 源 控制 器 ， 它 只 管理 一 个 资源 。 


protected Controller is 
entry Allocate; 


procedure Free; 


private 
Allocated : Boolean := False; 
Current Owner : Task Id := Null Task Id; 


end Controller; 


protected body Controller is 


entry Allocate when not Allocated is 
begin 

Allocated :- True; 

Current Owner :- Allocated' Caller; 
end Allocate; 


procedure Free is 


begin 
if Current Task /- Current Owner then 
raise Invalid Caller; -- 一 个 合适 的 异常 
end if; 
Allocated := False; 
Current Owner := Null Task Id; 
end Free; 


398 end Controller; 
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注意 ， 用 这 个 Ada 设 施 ， 入 口 的 调用 者 是 通过 caller 属 性 标识 的 ， 而 通过 函数 Current_ 
Task 获 得 过 程 的 调用 者 。 这 个 不 同 的 原因 在 这 里 并 不 重要 (其 理由 见 文献 Burns and Wellings 
(1998)). 


11.06 资源 的 使 用 


当 竞 争 或 合作 进程 需要 资源 时 ， 正 常 的 操作 方式 是 : wE (request) 资源 (如 果 需 要 
就 等 待 )、 使 用 (use) 资源 、 然 后 释放 (release) 资源 。 通 常用 两 种 访问 模式 请 求 一 个 资 
源 。 这 两 种 模式 是 共享 访问 或 互 斥 访问 。 共 享 访问 人 允许 资源 被 多 个 进程 并 发 使 用 : 例如 一 个 
只 读 文件 。 互 斥 访 问 要 求 在 同一 时 间 只 允许 一 个 进程 访问 资源 : 例如 一 个 物理 资源 ， 如 行 式 
打印 机 。 某 些 资源 能 按 任 一 种 模式 使 用 。 在 这 种 情况 下 ， 如 果 一 个 进程 请 求 按 共享 方式 访问 
资源 ， 但 该 资源 正 被 互 斥 访问 时 ， 那 么 该 进程 必须 等 待 。 如 果 资 源 已 经 处 于 共享 访问 模式 ， 
那么 该 进程 就 能 访问 该 资产。 类似 地 ， 如 果 请 求 互 斥 地 访问 一 个 资源 ， 那 么 发 出 请 求 的 进程 
必须 等 待 正 共享 访问 资源 的 进程 结束 访问 。 

因为 当 进 程 请 求 资源 时 可 能 被 阻塞 ， 所 以 进程 只 有 在 它 需 要 资源 时 才 请 求 资源 。 而 且 ， 一 
且 给 进程 分 配 了 资产， 进程 应 尽 可 能 快 地 释放 资源 。 如 果 进 程 没有 这 么 做 ， 系 统 的 性 能 就 可 能 
显著 降低 ， 因 为 系统 中 的 进程 将 持续 等 待 稀有 资源 。 但 是 ， 如 果 进 程 释放 资源 过 早 并 导致 失败 ， 
那么 它们 可 能 通过 资源 传递 错误 信息 。 因 为 这 个 原因 ， 必 须 修 改 10.1.1 节 介绍 的 两 阶段 资源 用 
法 ， 以 便 直到 动作 结束 才 释 放 资 源 。 如 果 成 功 执行 了 恢复 ， 那 么 动作 里 面 的 任何 恢复 过 程 必须 
要 么 释放 资源 ， 要 么 撤销 对 资源 的 任何 影响 。 如 果 没 有 完成 恢复 ， 则 需要 执行 撤销 ， 并 且 系 统 
必须 恢复 到 一 个 安全 状态 。 对 于 向 前 出 错 恢复 ， 可 以 通过 异常 处 理 程序 执行 这 些 操 作 。 对 于 向 
后 出 错 恢复 ， 如 果 没 有 一 - 些 额 外 的 语言 支持 ， 就 不 可 能 执行 这 些 操作 (Shrivastava, 1979). 


11.7 死 锁 


因为 许多 进程 竞争 有 限 的 资源 ， 那 么 可 能 发 生 以 下 情况 : 进程 P, 独 占 地 访问 资源 Ri， 同 
时 等 待 访问 资源 R,。 如 果 进 程 P, 已 经 独占 对 资源 R; 的 访问 并 同时 等 待 访问 Ri!， 那 么 死 锁 
(deadlock) 就 发 生 了 ， 因 为 两 个 进程 都 在 等 待 对 方 释放 资源 。 由 于 死 锁 ， 所 有 受 影 响 的 进程 
被 无 限期 挂 起 。 一 个 类 似 的 敏感 情形 是 一 个 进程 集合 的 推进 被 抑制 但 仍 在 执行 。 这 种 情形 被 
称 为 活 锁 (livelock)。 一 个 典型 的 例子 是 相互 交互 的 进程 集合 陷入 了 无 限 循环 中 ， 它 们 不 能 
向 前 推进 ， 但 是 它们 正 做 着 无 用 的 工作 。 

另 一 个 可 能 的 问题 发 生 在 当 儿 个 进程 连续 不 断 地 试图 独占 地 访问 相同 资源 的 时 候 。 如 果 
资源 分 配方 案 不 公平 ， 那 么 一 个 进程 可 能 从 来 没有 机 会 访问 资源 。 这 种 情况 叫做 无 限 延 期 
(indefinite postponement). JE (starvation) 或 停工 (lockout) ( 见 第 8 章 )。 在 并 发 系统 中 ， 
活性 (liveness) 意味 着 如 果 假设 某 事件 会 发 生 ， 那 么 它 最 终 将 发 生 。 由 于 死 锁 、 MRE 
导致 了 活性 的 破坏 。 注 意 活性 不 是 像 公平 性 那样 强 的 条 件 。 但 是 给 公平 性 一 个 单一 的 精确 定 
义 是 困难 的 。 

本 节 剩 下 的 部 分 将 关注 死 锁 和 如 何 预防 死 锁 、 避免 死 锁 和 死 锁 的 检测 与 恢复 。 

11.7.1 死 锁 发 生 的 必要 条 件 
必须 同时 具备 以 下 四 个 必要 条 件 才 会 发 生死 锁 : 
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*。 互 斥 一 一 只 有 一 个 进程 能 够 立即 使 用 资源 ( 即 资源 是 非 共 享 的 或 至 少 限制 并 发 访问 ) ; 

。 拥 有 并 等 待 一 一 必须 存在 这 样 的 进程 ， 它 拥有 资源 并 等 待 其 他 资源 ; 

* 非 抢占 一 一 资源 只 能 由 进程 自愿 释放 ; 

* 循环 等 待 一 一 必须 存在 一 个 进程 循环 链 ， 每 个 进程 都 拥有 资源 ， 而 链 中 的 下 一 个 进程 正 

请 求 这 些 资源 。 
11.7.2 处 理 死 锁 的 方法 

如 果 想 要 一 个 实时 系统 是 可 靠 的 ， 它 就 必须 解决 死 锁 问题 。 有 三 个 可 能 的 方法 : 

。 死 锁 预 防 

* 死 锁 避 免 

。 死 锁 检 测 与 恢复 

下 面 做 简要 的 讨论 。 读 者 可 参考 任何 操作 系统 书籍 查看 更 全 面 的 讨论 。 

1. RARE 

可 以 通过 保证 死 锁 四 个 必要 条 件 中 的 至 少 一 个 条 件 决 不 发 生来 预防 死 锁 。 

EF: 如 果 资 源 是 共享 的 ， 那 么 它们 不 可 能 卷 信 死 锁 。 遗 憾 的 是 ， 虽 然 少 数 资源 允许 并 
发 访问 ， 但 是 大 多 数 资 源 的 使 用 是 受 限制 的 。 

拥有 并 等 待 : 避免 死 锁 的 一 个 非常 简单 的 办 法 是 要 求 进程 要 么 在 运行 前 请 求 资源 ， 要 么 
在 运行 中 没有 资源 分 配 时 请 求 资源 。 但 是 这 可 能 导致 资源 的 低 效 使 用 和 人 饿 死 。 

非 抢占 : 如 果 放 宽 从 进程 中 抢占 资源 的 限制 ， 就 能 预防 死 锁 。 有 几 各 方法， 包括: 如 果 
一 个 进程 试图 分 配 资源 但 是 失败 了 ， 就 释放 它 已 拥有 的 所 有 资源 ; 如 果 一 个 进程 请 求 一 个 次 
源 ， 但 该 资源 已 分 配给 了 一 个 被 阻塞 的 进程 (等待 另 一 资源 ) ， 就 将 该 资源 窃取 过 来 。 被 阻塞 
进程 现 正在 等 待 一 个 额外 的 资源 。 这 种 方法 的 缺点 是 它 需 要 保存 和 恢复 资源 的 状态 ， 在 许多 
情况 下 这 也 许 是 不 可 能 的 。 

循环 等 待 ， 为 了 避免 循环 等 待 ， 给 所 有 资源 类 型 进行 线性 的 排序 。 根 据 这 个 排序 ， 给 每 
一 个 资源 类 型 分 配 一 个 编号 。 假 设 R 是 一 个 资源 类 型 集合 

R= <R，R2，…Ro> 所 有 资源 的 集合 

函数 F 的 参数 为 资源 类 型 ， 返 回 值 为 资源 在 线性 排序 中 的 位 置 。 如 果 进 程 拥有 资源 R,， 而 且 它 
请 求 资源 Rx， 只 在 以 下 条 件 成 立时 考虑 该 请 求 : 








F(R) <F(Rx) 
BS — TR RR ALA RUT BRR), RERE TFR 
F(R) « FR) 


注意 函数 F 应 根据 资源 的 用 法 推导 得 出 。 

另 一 个 预防 死 锁 的 方法 是 形式 化 地 分 析 程序 ， 因 此 验证 不 可 能 存在 循环 等 待 。 这 样 的 分 
匠 能 下 易于 进行 密切 依赖 于 所 使 用 的 并 发 模型 。 低 级 同步 原 语 极 难 用 这 种 方法 来 检验 ， 与 此 
相 比 ， 基 于 消息 的 结构 更 符合 形式 化 证 明 规 则 的 应 用 。occam2 就 是 特别 为 这 个 目的 而 设计 的 。 
它 的 语义 已 形式 化 地 进行 了 详细 说 明 ， 而 且 为 CSP 开 发 的 无 死 锁 编程 的 许多 理论 都 适用 于 
occam2 (Hoare, 1985), 

2. 死 镇 避免 


如 果 知 道 更 多 关于 资源 用 法 模式 的 信息 ， 那么 就 可 能 构造 一 个 算法 ， 该 算法 允许 死 锁 的 
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所 有 四 个 必要 条 件 都 发 生 ， 但 是 它 保 证 系统 不 会 进入 死 锁 状态 。 死 锁 避 免 算法 动态 检查 资源 [401] 
分 配 的 状态 ， 然 后 采取 动作 保证 系统 不 会 进入 死 锁 。 但 是 ， 仅 仅 询问 下 一 个 新 状态 是 否 是 死 
锁 是 不 够 的 ， 因 为 如 果 下 一 个 状态 是 死 锁 ， 也 许 不 可 能 采取 替代 动作 避免 这 个 情况 。 相 反 的 
做 法 是 必须 询问 系统 是 否 仍 处 于 安全 状态 。 资 源 分 配 状态 由 下 式 给 出 : 
状态 = 可 用 资源 数 、 已 分 配 资源 数 以 及 每 个 进程 最 大 资源 需求 

如 果 系 统 能 按 某 种 顺序 为 每 个 进程 分 配 资 源 (直到 它们 的 最 大 需求 )， 而 且 仍然 避免 了 死 
锁 ， 那 么 系统 是 安全 的 (safe )。 例 如 ， 考 虑 一 个 需要 访问 大 辅助 存储 设备 的 数据 获取 系统 。 
它 有 12 个 磁带 机 和 三 个 进程 ，Po 最 多 需要 10 台 磁带 机 、Pi 最 多 需要 4 台 磁 带 机 、P, 最 多 需要 9 台 
磁带 机 。 假 设 在 时 间 T 时 ，Po 已 拥有 5 台 、Pi 已 拥有 2 台 、P; 已 拥有 2 台 (还 剩 3 台 )， 见 表 11-1。 


表 11-1 安全 状态 
和 
进 程 已 分 配 需 要 
SE 需要 — 
Po 5 : 10 

Pi 2 

P; 2 9 
共 分 配 =9 
还 剩 下 =3 


meee 

这 是 一 个 安全 状态 ， 因 为 存在 一 个 序列 <P!、P。、P,> 人 允许 所 有 进程 结束 。 如 果 在 时 间 
Tj 1 时，Ps 请 求 1 台 磁带 机 且 系 统 将 磁带 机 分 配给 它 ， 这 时 系统 状态 变 为 ， Pu 有 5 台 、P 有 2 人 台 、 
尸 有 3 台 并 还 剩 2 台 ， 见 表 11-2。 


表 11-2 不 安全 状态 


xt 程 已 分 配 需 要 
Po 5 10 
P, 2 
P; 3 9 
共 分 配 = 10 
还 剩 下 =2 
ee eee 


这 时 系统 不 再 是 安全 状态 ， 利 用 剩 下 的 磁带 机 ， 只 有 P, 能 够 结束 ， PER: PASE. 
Pz 有 3 台 但 只 剩 4 台 。 此 时 Po 或 P, 都 不 能 得 到 满足 ， 因此 系统 可 能 进入 死 锁 状态 。 所 以 系统 应 
VAT 2E EFE P^TEIF IBI T; + 1 时 的 请 求 。 

很 明显 ， 死 锁 是 一 个 不 安全 状态 。 系统 处 于 不 安全 状态 可 能 导致 死 锁 ， 但 是 也 可 能 不 导 
致死 锁 。 但 是 如 果 系 统 处 于 安全 状态 ， 它 将 不 会 死 镇 。 当 资 源 类 型 多 于 一 个 时 ， 死 锁 避 免 算 
法 变 得 更 复杂 。 通 常 使 用 的 是 银行 家 (Banker’s) 算法 。 这 种 算法 的 讨论 可 在 大 多 数 操作 系统 
书 中 找到 。 

3. 死 镇 检测 和 恢复 

在 许多 通用 的 并 发 系统 中 ， 资源 的 分 配 用 法 事先 并 不 知道 。 即使 事先 知道 ， 死 锁 避 免 的 
代价 常常 是 昂贵 的 。 因此 许多 系统 忽略 死 锁 问题 直到 系统 进入 死 锁 状 态 。 然后 它们 采取 一 些 
纠正 动作 。 遗憾 的 是 如 果 系 统 中 有 许多 进程 ， 也 许 很 难 检测 死 锁 。 一 种 方法 是 使 用 资源 分 配 
(resource allocation graph) (有 时 称 为 资源 依赖 图 (resource dependency graph) )。 








316 51x 


为 了 检测 一 组 进程 是 否 发 生 了 死 锁 , 需要 资源 分 配 系统 知道 已 经 给 哪些 进程 分 配 哪 些 资源 ， 
哪些 进程 被 阻塞 等 待 已 分 配 的 资源 。 如 果 系 统 有 这 些 信息 ， 它 就 可 以 构造 一 个 资源 分 配 图 。 

使 用 资源 分 配 图 ， 系 统 能 检测 是 否 存在 死 锁 。 系 统 首先 检测 没有 被 阻塞 的 进程 。 然 后 通 
过 移 走 这 些 进程 将 图 简化 ， 因 为 假设 如 果 这 些 进程 继续 运行 ， 它 们 最 终 将 终止 。 

通常 ， 如 果 在 资源 分 配 图 中 没有 循环 ， 就 没有 发 生死 锁 。 但 是 如 果 有 一 个 循环 ， 系 统 可 
能 发 生死 锁 ， 也 可 能 不 发 生 ， 这 取决 于 图 中 的 其 他 进程 。 因 此 资源 分 配 图 能 用 于 预防 死 锁 。 
每 当 有 资源 请 求 时 ， 就 修改 这 个 图 。 如 果 存 在 一 个 循环 ， 那 么 潜在 的 死 锁 就 可 能 发 生 ， 因 此 
必须 拒绝 资源 请 求 。 

如 果 能 检测 出 死 锁 就 能 通过 以 下 方法 恢复 : 打破 一 个 或 多 个 资源 的 互 斥 ， 中 止 一 个 或 多 


.个 进程 ， 或 者 从 一 个 或 多 个 死 锁 进程 中 抢占 一 些 资源 。 打 破 互 斥 虽然 容易 实现 ， 但 是 可 能 使 


系统 进入 不 一 致 的 状态 ， 如 果 一 个 资源 是 可 共享 的 ， 它 应 该 被 保证 是 可 共享 的 。 中 止 一 个 或 
多 个 进程 是 一 个 非常 严厉 的 措施 ， 也 可 能 使 系统 进入 不 一 致 状态 。 如 果 采 用 这 些 方法 中 的 任 . 
何 一 个 ， 必 须 计算 这 种 动作 的 代价 ， 包 括 考 虑 进程 优先 级 、 进程 已 经 执行 了 多 长 时 间 、 它 还 
需要 多 少 资源 等 等 。 

抢占 需要 选择 一 个 或 多 个 牺牲 者 。 选 择 时 要 考虑 进程 优先 级 ， 是 否 简单 地 抢占 资源 ， 进 
程 离 完 成 还 有 多 远 。 一 旦 选 定 了 ， 抢 占 的 过 程 将 依赖 于 使 用 何 种 形式 的 出 错 恢复 。 对 于 向 后 
出 错 恢复 ， 进 程 从 该 资源 分 配 前 的 一 个 恢复 点 重新 开始 执行 。 对 于 向 前 出 错 恢复 ， 在 牺牲 进 
程 内 引发 一 个 适当 的 异常 ， 该 进程 必须 采取 某 种 纠正 动作 。 

显然 必须 小 心 谨慎 ，， 以 保证 同样 的 进程 不 会 因 不 断 回 滚 而 造成 资源 似 馈 。 这 种 问题 的 最 
常见 解决 办 法 应 包括 一 个 进程 被 抢占 的 次 数 作为 代价 因素 的 一 部 分 。 

本 节 简 要 概述 了 系统 可 用 于 避免 或 应 付 死 锁 的 可 能 方法 。 PAMELA  BOBUROKIT 
是 非常 昂贵 的 ， 在 实时 系统 中 最 好 禁止 使 用 。 特 别 是 在 分 布 式 系统 中 更 是 这 样 。 因 此 ，-- 些 
系统 在 资源 分 配 请 求 上 使 用 简单 的 超时 。 如 果 超 时 到 期 。 进 各 可 以 假定 有 潜在 的 死 锁 ， 人 下 
采取 一 些 赫 代 的 动作 过 程 。 在 第 13 章 将 介绍 一 个 基于 优先 级 调度 的 资源 共享 方法 。 这 个 方法 
有 一 个 明显 有 用 的 特性 ， 它 是 无 死 锁 的 一 一 至 少 在 单 处 理 器 系统 上 是 这 样 。 


小 结 





在 每 一 个 计算 机 系统 中 ， 有 许多 进程 竞争 有 限 的 资源 集合 。 需要 算法 来 管理 资源 的 分 配 
和 回收 过 程 (资源 分 配 的 机 制 ), 并 保证 按照 预定 义 的 行为 给 进程 分 配 资源 (资源 分 配 的 策略 )。 
这 些 算法 也 负责 确保 进程 在 等 待 资源 分 配 请 求 完成 时 不 死 锁 。 

在 进程 间 共 享 资源 需要 这 些 进程 互相 通信 和 同步 。 因 此 ， 最 根本 的 是 : 实时 语言 提供 的 
同步 设施 应 有 足够 的 表达 能 力 ， 使 得 能 够 规定 一 个 广泛 范围 的 同步 约束 。 可 以 把 这 些 约束 分 
类 如 下 : 资源 调度 必须 考虑 到 

* 服务 请 求 的 类 型 ; 

* 请 求 到 达 的 顺序 ; 

EA RAEE; 

“请 求 的 参数 ; 

“客户 的 优先 级 。 

管 程 ( 带 有 条 件 同步 ) 能 很 好 地 处 理 请 求 参 数 ， 在 基于 消息 的 服务 器 或 保护 对 象 中 的 回 
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避 同 步 足以 应 付 请 求 类 型 。 

如 果 同 步 设施 的 表达 能 力 不 够 ， 进 程 常常 被 迫 同 资源 管理 器 进行 双重 交互 。 双 重 交 互 必 
须 用 原子 动作 实现 ， 否 则 客户 进程 有 可 能 在 第 一 个 交互 后 、 第 二 个 交互 前 被 中 止 。 如 果 这 个 [404] 
可 能 性 确实 存在 ， 那 么 编写 可 靠 的 资源 管理 器 就 是 非常 困难 的 。 增 强 守备 的 表达 能 力 的 一 个 
方法 是 允许 重 排队 。 这 个 设施 使 回避 同步 与 条 件 同 步 一 样 有 效 。 

资源 管理 的 一 个 关键 需求 是 提供 无 死 锁 的 用 法 。 必 须 具备 以 下 四 个 必要 条 件 才 会 发 生 
死 锁 : 
-HJF 
。 拥有 并 等 待 
。 非 抢占 
* 循环 等 待 
如 果 一 个 实时 系统 是 可 靠 的 ， 它 必须 解决 死 锁 问题 。 有 三 种 可 能 的 方法 : 
* 死 锁 预防 一 一 通过 保证 以 上 四 个 条 件 中 至 少 有 一 个 不 会 发 生来 预防 死 锁 ; 
* 死 锁 避 免 一 一 使 用 资源 用 法 模式 的 信息 来 构造 算法 ， 该 算法 允许 所 有 四 个 条 件 发 生 ， 但 
是 它 也 保证 系统 决 不 会 进入 死 锁 状 态 ; 
* 死 锁 检 测 与 恢复 一 一 允许 死 锁 发 生 (通过 检测 发 现 )， 然 后 通过 以 下 方法 恢复 : 破坏 一 个 
或 多 个 资源 的 互 斥 ; 中止 一 个 或 多 个 进程 ; 从 一 个 或 多 个 已 死 锁 进程 中 抢占 一 些 资源 。 
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练习 
11.1 下 面 的 资源 控制 器 试图 将 请 求 同 优先 级 联系 起 来 。 


type Level is (Urgent, Medium, Low); 
task Controller is 


entry Request (Level) (D:Data); 
end Controller; 


task body Controller is 
begin 
loop 
select 
accept Request (Urgent) (D:Data) do 


end; 
or 
when Request (Urgent) ' Count = 0 => 
accept Request (Medium) (D:Data) do 
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end; 
or 
when Request (Urgent) ' Count = 0 and 
Request (Medium) ' Count = 0 => 
accept Request (Low) (D:Data) do 


end; 
end select 


end loop; 
end Controller; 


解释 这 个 解决 方案 ， 指 出 它 将 在 什么 条 件 下 失败 。 为 什么 扩充 上 面 的 解决 方案 以 应 付 0 ~ 
1 000 范 围 内 的 数值 优先 级 是 不 明智 的 ? 拟定 一 个 替代 的 解决 方案 以 应 付 较 大 的 优先 级 范 
围 。 你 可 以 假设 调用 任务 只 发 出 简单 入 口 调用 并 且 不 会 被 中 止 。 

11.2 说 明 如 何 用 Java 实 现 11.3.1 节 给 出 的 资源 管理 器 ( 它 没 有 重 排队 设施 )。 

11.3 说 明 如 何 用 保护 对 象 实现 11.3.4 节 给 出 的 Ada 资 源 管理 器 。 

.11.4 说 明 如 何 用 occam2 实 现 11.3.4 节 给 出 的 Ada 资 源 管 理 器 。 

11.5 说 明 如 何 改写 11.4 节 给 出 的 Ada 资 源 管理 器 ， 使 它 允 许 高 优先 级 客户 优先 于 低 优先 级 客 
户 。 

11.6 说 明 如 何 使 用 POSIX 的 互 斥 锁 和 条 件 变 量 实现 一 个 资源 控制 器 ， 该 资源 控制 器 用 于 几 个 
相同 资源 的 分 配 和 释放 。 客 户 可 以 使 用 以 下 接口 请 求 和 释放 一个 或 多 个 资源 。 
typedef struct{ 


e JHA */ 


) resource; 


void allocate (int size, resource *R); 
void deallocate (int size, resource *R); 


void initialize (resource *R); 


11.7 考虑 一 个 有 五 个 进程 (Pi, Py, PS) 和 7 类 资源 (Ri, R, UR) 的 系统 。 资源 2、 5. 7 
BAI, RMR. 3. 4. 64 42/5. VERIICLEMBERIT LITER, WBE MR, H 
程 2? 已 经 得 到 了 资源 Ri、R、R; 各 1 个 ， 还 需要 1 个 资源 R;。 进 程 3 已 经 得 到 了 资源 R,、 RR 
1 个 ， 还 需要 1 个 资源 R,。 进 程 4 已 经 得 到 了 资源 R,、R; 各 1 个 ， 还 需要 1 个 资源 R,。 进程 5 
已 经 得 到 了 1 个 资源 R,。 

该 系统 处 于 死 锁 中 吗 ? 给 出 你 的 理由 。 
11.8 一 个 系统 处 于 表 11-3 描 述 的 状态 ， 这 个 系统 是 处 于 安全 还 是 不 安全 状态 ? 给 出 你 的 理由 。 


表 11-3 练习 11.8 中 的 系统 的 状态 
CC 
进 程 已 分 配 最 多 需要 

进程 1 


、 12 
进程 2 10 


N 上 N 
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进 程 B 分配 最 多 需要 
进程 5 2 4 
进程 6 1 2 
进程 7 5 13 
XI PI | 
11.9 一 个 处 于 不 安全 状态 的 系统 并 不 一 定 会 死 锁 。 解 释 为 什么 这 是 对 的 。 给 出 一 个 不 安全 状 
态 的 例子 ， 说 明 进 程 如 何 能 在 没有 死 锁 发 生 的 情况 下 执行 完毕 。 406 


11.10 说 明 如 何 用 Java 实 现 11.4.2 节 给 出 的 网 络 路 由 器 的 例子 。 407 














第 12 章 实时 设施 


12.1 时 间 的 概念 12.7 时 序 作 用 域 的 语言 支持 
122 时 钟 访问 12.8 容错 

12.3 进程 延迟 小 结 

12.4 超时 的 编程 相关 阅读 材料 

12.55 规定 时 间 性 需求 练习 

12.6 时 序 作 用 域 





第 1 章 已 经 提 到 用 于 幅 入 式 系统 编程 的 语言 需要 一 些 用 于 实时 控制 的 设施 。 事实 上 “实时 ” 
已 经 被 当 作 这 类 系统 的 同义词 。 既 然 实 时 性 对 于 很 多 贬 入 式 系 统 是 如 此 重要 ， 那 么 直到 第 12 
章 才 来 讨论 这 个 主题 似乎 很 奇怪 。 但 是 实时 控制 的 设施 通常 是 建立 在 语言 的 并 发 模型 之 上 的 ， 
所 以 必须 先 讨论 并 发 模型 。 

将 时 间 的 概念 引入 到 编程 语言 中 可 以 大 致 分 为 三 个 独立 的 主题 : 

1) 则 “时 间 ” 的 对 接 。 例 如 : 时钟 访问 可 以 计算 出 一 段 时 间 的 长 度 ; 延迟 进程 直到 将 来 
某 一 时 刻 ; 针对 超时 编程 可 以 识别 出 某 些 事件 没有 出 现 并 进行 处 理 。 

2) 时 间 性 需求 的 表示 。 例 如 : 规定 执行 的 速度 和 时 限 。 

3) 时 间 性 需求 的 满足 。 

本 章 主要 是 关于 前 两 个 主题 的 ， 虽 然 是 以 对 时 间 概念 本 身 进 行 的 讨论 开始 。 第 13 章 研究 
系统 的 实现 方法 ， 以 便 能 够 预测 最 坏 的 时 序 行为 ， 并 满足 时 间 性 需求 。 


12.1 时 间 的 概念 


我 们 的 日 常 经 历 都 和 过 去 、 现 在 和 未 来 的 概念 紧 紧 联系 ， 但 令 人 惊讶 的 是 我 们 基本 上 还 
不 能 回答 “时 间 是 什么 ”这 个 问题 。 哲 学 家 、 数 学 家 、 物 理学 家 还 有 最 近 工程 师 们 都 对 “时 
间 ” 做 了 精细 的 研究 ， 但 至 今 仍 无 法 对 时 间 的 定义 在 理论 上 达成 一 致 。 正 如 St. Augustine 所 
说 : 

什么 是 时 间 呢 ? 如果 没 人 问 我 ， 我 知道 它 是 什么 。 一 旦 我 想 对 问 我 这 个 问题 的 

人 解释 ， 我 就 不 知道 了 。 

哲学 关于 时 间 的 讨论 中 的 一 个 关键 问题 可 以 简单 地 表述 为 : “究竟 是 我 们 存在 于 时 间 里 抑 
或 时 间 是 我 们 存在 的 一 一 部 分 ? ”两 大 思想 主流 学 派 是 还 原 学 派 和 柏拉图 学 派 。 他 们 都 同意 人 
类 史 和 生物 史 都 是 由 有 序 的 事件 构成 的 。 柏拉图 学 派 的 学 者 们 认为 时 间 是 自然 的 一 种 基本 属 
性 ， 它 是 连续 的 ， 没 有 开始 也 没有 结束 ， “并 且 拥 有 这 些 性 质 是 一 种 必然 "。 我 们 关于 时 间 的 
概念 都 是 自 历史 事件 到 这 些 外 部 时 间 参 照 系 的 映射 派生 的 。 

比较 起 来 ， 还 原 主义 者 没有 利用 这 些 外 部 参照 系 。 由 历史 事件 组 成 的 历史 时 间 是 修一 
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意义 的 时 间 概 念 。 他 们 假设 一 些 确定 的 事件 (例如 ,日 出 、 冬 至 、 原 子 振动 等 等 ) 是 定期 发 
生 的 ， 由 此 发 明了 一 种 能 测度 时 间 长 度 的 有 效 的 时 间 参 照 。 但 是 这 只 是 人 为 构造 的 模型 ， 并 
非 实际 存在 的 。 

还 原 主义 者 观点 的 一 个 推论 是 ， 没 有 变化 ， 时 间 将 不 能 前 进 。 如 果 字 宙 诞 生 自 大 爆炸 ， 
那么 那 次 爆炸 就 是 第 一 个 历史 事件 ， 所 以 时 间 自 身 连 同 “ 空 间 ” 从 这 个 第 一 个 纪元 开始 了 。 
对 于 柏拉图 学 派 的 学 者 们 而 言 ， 这 次 大 爆炸 也 只 是 无 穷 无 尽 的 时 间 长 河中 的 一 个 事件 。 

爱 因 斯 坦 告 诉 我 们 ， 在 远 距 离 上 相对 论 效应 不 但 直接 影响 时 间 ， 而 且 还 影响 了 事件 的 时 
序 。 在 狭义 相对 论 中 ， 事 件 的 观察 者 建立 起 一 个 参照 系 。 某 个 观察 者 可 能 看 到 A 事件 先 于 B 事 
件 ， 而 另 一 个 观察 者 (在 另 一 个 参照 系 里 ) 看 到 的 次 序 可 能 会 颠倒 。 由 于 时 序 的 难题 ， 爱 因 
斯 坦 引 人 了 因果 次 序 。 如 果 所 有 可 能 的 观察 者 都 看 见 A 事件 在 B 事 件 之 前 发 生 ， 我 们 说 A 事件 
导致 了 B 事 件 。 另 一 个 确定 这 种 因果 关系 的 方法 假设 存在 一 个 不 超过 光速 的 、 从 A 事件 传播 到 
B 事 件 的 信号 。 

时 间 的 这 些 不 同 主题 可 以 通过 同时 事件 (simultaneous event) 很 好 地 加 以 说 明 。 对 于 柏 
拉 图 学 派 的 人 ， 同 时 事件 发 生 在 同一 个 时 间 ， 对 于 还 原 主义 者 来 说 ， 同 时 事件 是 “一 起 发 后 
的 "。 在 狭义 相对 论 里 ， 同 时 事件 是 不 存在 因果 关系 的 事件 。 

从 数学 的 观点 看 来 ， 时 间 有 很 多 不 同 的 拓扑 结构 。 最 常见 的 一 种 是 用 一 条 实数 线 表示 时 
间 。 因 此 时 间 是 线性 的 、 传 递 的 、 非 自 反 的 和 稠密 的 : 

* 线性: Vx, yix<yvy<xvx=y 

。 传 递 性 : Vx, y, zi(x<yay<z)=x<z 

。 非 自 反 性 : Vx:-(x<x) 

fur: vx, y:x<y =z: (x<z<y) 

关于 时 间 的 工程 看 法 极 大 地 忽略 了 哲学 的 时 间 观 点 。 一 个 修 入 式 实时 计算 机 系统 要 将 它 的 
执行 和 环境 的 “时 间 ” 进 行 协调 。 用 “实时 ”这 个 词 是 为 了 表示 和 计算 机 时 间 的 区 别 。 “ 实 ” 
是 因为 它 是 外 部 的 。 这 个 外 部 的 参照 系 是 还 原 主 义 者 的 构造 还 是 近似 于 柏拉图 学 派 的 “绝对 ” 
时 间 体 系 并 不 重要 。 而 且 ， 对 于 大 多 数 的 应 用 ， 相 对 论 效应 也 是 可 以 忽略 的 。 在 实时 系统 的 
数学 拓扑 结构 方面 ， 将 时 间 视 为 稠密 的 还 是 离散 的 存在 着 一 些 分 歧 。 因为 计算 机 是 在 离散 时 
间 上 工作 的 ， 所 以 建立 基于 离散 时 间 的 计算 模型 有 好 处 。 其 他 工程 学 科 利用 稠密 时 间 模 型 取 
得 良好 效果 的 重要 经 验 则 支持 相反 的 方法 。 结合 两 种 方法 的 努力 只 不 过 产生 了 第 三 种 方法 一 一 
混合 系统 。 如 果 一 系列 事件 被 广泛 一 致 地 认为 是 定期 发 生 的 ， 那么 就 有 可 能 定义 一 个 标准 的 
时 间 测量 。 过 去 存在 很 多 标准 。 表 12-1 简 要 描述 了 一 些 比较 重要 的 标准 。 这 些 描述 摘自 参考 文 
献 [Hoogeboom and Halang (1992) ]。 


表 12-1 时 间 标准 


oa 
KF ik 注 
真实 太阳 日 两 次 连续 中 天 (太阳 最 高 点 ) 之 间 的 时 间 一 年 中 变化 15 分 钟 (近似 ) 
瞬时 小 时 日 出 和 日 落 之 间 时 间 的 12 分 之 一 一 年 中 有 可 观 变化 
国际 标准 时 (UTO) 格林 尼 治 子午 线 的 平均 太阳 时 1884 年 确定 
秒 (1) 平均 太阳 日 的 1/86 400 
(2) 1900 回 归 年 的 1/31 566 925.974 7 1955 年 确定 的 历 表 时 间 


UT! 因 极 地 运动 对 UT0 的 修正 
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(5€) 
名 F fü xk ik 

UT2 因 地 球 旋转 速度 变化 对 UT1 的 修正 

秒 (3) 9 192 631 770 个 对 应 于 钨 (caesium) 133 当前 钨 原子 钟 的 准确 度 为 1053 
原子 基态 的 两 个 超 精细 等 级 之 间 迁 移 的 放射 分 之 一 〈 即 每 300 000 年 一 个 时 
周期 的 时 间 长 度 钟 误差 ) 

国际 原子 时 (IAT) 以 钨 原子 钟 为 基础 

国际 协调 时 (UTC ) 一 个 IAT 时 钟 ， 和 增补 了 偶然 移 位 时 间 信 UT2 ( 它 是 基于 天 文 测 量 的 ) 
号 的 UT2 同 步 和 UTC ( 它 是 基于 原子 测量 的 ) 

之 间 的 最 大 差 值 保持 低 于 0.5 秒 


12.2 时 钟 访问 


如 果 一 个 程序 准备 以 任何 有 意义 的 方式 与 环境 的 时 间 框 架 交互 ， 它 就 必须 能 够 访问 那些 
能 “告诉 时 间 ” 的 方法 ， 至少 要 有 测量 时 间 流 逝 的 方法 。 有 两 种 不 同 的 方法 来 做 到 这 一 点 : 

“直接 访问 环境 的 时 间 框 架 

* 通过 内 部 硬件 时 钟 对 环境 中 的 时 间 流 逝 做 适宜 的 近似 

第 一 种 方法 不 常见 ， 但 可 以 通过 很 多 手段 来 实现 。 最 简单 的 方法 可 以 为 环境 提供 一 个 内 
部 计时 的 定期 中 断 。 另 一 种 极端 是 ， 系 统 (或 者 其 实 是 分 布 式 系 统 的 任 一 节点 ) 能 装 上 无 线 
电 接 收 机 接收 某 人 国际 时 间 信号 。 例 如 德国 的 一 些 转发 器 用 来 发 射 UTC 和 IAT 倩 号。 全球 定 位 
系统 (GPS) 也 提供 UTC 服务 。 

从 程序 员 的 角度 看 来 ， 对 时 间 的 访问 可 以 由 语言 里 的 时 间 原 语 或 内 部 时 钟 、 外 部 时 钟 或 
者 无 线 电 接收 机 的 设备 驱动 程序 提供 。 设 备 驱 动 程序 的 编程 是 第 15 章 的 主题 ， 下 面 的 小 节 通 
过 一 些 例子 来 说 明 occam、Ada、Java 和 POSIX 是 如 何 提 供 时 钟 抽象 的 。 
12.2.1 occam2 中 的 TIMER 


任何 一 个 occam2 进 程 都 可 以 通过 读 取 TIMER 获 得 本 地 时 钟 的 值 (没有 访问 日 历时 间 的 设 
施 )。 为 了 和 occam2 的 (一 对 一 ) 通信 模型 一 致 ， 每 个 进程 必须 使 用 不 同 的 mrIMER。 读 取 
TIMER 要 遵守 读 取 管道 的 语法 ， 但 在 语义 上 是 不 同 的 ， 读 取 TIMER 不 会 导致 挂 起 ， 即 时 钟 总 
是 准备 输出 。 

TIMER clock: 

INT Time: 

SEQ 

clock ? Time -- 读 时 间 


TIMER 产 生 一 个 INT 类 型 的 值 ， 但 其 含义 依赖 于 实现 它 给 出 一 个 相对 的 、 而 非 绝 对 的 
时 钟 值 。 因 此 单独 一 次 读 取 TIMER 是 没有 意义 的 ， 将 两 次 读 取 的 值 相 减 就 可 以 得 到 两 次 读 取 
之 间 的 时 间 长 度 。 
TIMER clock: 
INT old, new, interval: 
SEQ 
clock ? old 
-- 其 他 计算 
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clock ? new 
interval := new MINUS old 


考虑 到 循环 越界 的 情况 ， 使 用 MINUS 运 算 符 而 不 用 “- ”。 这 是 因为 TIMER 返 回 的 整数 对 
每 一 个 时 间 单 位 都 会 加 1， 最 终 达 到 最 大 值 ， 所 以 下 一 个 滴答 (tick) 到 达 后 这 个 整数 就 变 成 
了 最 小 的 负 值 并 继续 增长 。 只 要 用 户 使 用 恰当 的 算术 运算 符 (语言 定义 的 ) 如 MINUS、PLUS、 
MULT 和 DIVIDE， 他 们 就 可 以 不 用 关心 这 种 动作 。 其 实 所 有 TIMER 都 是 用 一 个 “PLUS 1” 
操作 来 实现 时 钟 的 每 次 增加 。 

如 上 面 所 说 明 的 ，oocam2 提 供 的 设施 是 很 基本 的 (虽然 可 以 证 明 完 全 够 用 了 ) 。 由 于 只 为 
时 钟 分 配 了 一 个 整数 ， 自 然 要 在 时 钟 的 粒度 (时钟 每 次 滴答 的 时 间 间 隔 ) 和 能 够 记录 的 时 间 
范围 之 间作 一 个 折 囊 。 对 于 一 个 32 位 的 整数 来 说 ， 表 12-2 给 出 了 典型 的 值 。 


表 12-2 32 位 整数 的 TIMER 粒 度 


粒 度 范围 (近似) 
‘lus 71.6min 
100us 119h 

lms 50d 


Is 136y 


ÉL LL LLL 
12.2.2 Ada 的 时 钟 包 

Ada 中 对 时 钟 的 访问 是 由 预定 义 (强制 ) 的 calendar 库 包 和 一 个 可 选 的 实时 设施 提供 的 。 
Calendar 库 包 ( 见 程 序 12-1) 实现 了 一 个 抽象 数据 类 型 Time。 该 类 型 提供 了 一 个 读 取 时 间 
的 Clock 朱 数 和 各 种 用 于 Time 与 人 们 理解 的 时 间 单 位 一 年、 月 、 日 和 秒 一 一 之 间 相 互 转换 
的 子 程序 。 前 面 三 项 是 以 整 型 的 子 类 型 给 出 的 ， 但 秒 被 定义 成 基本 类 型 Duration 的 子 类 型 。 


程序 12-1 Ada 的 Calendar 包 
package Ada.Calendar is 
type Time is private; 


subtype Year Number is Integer range 1901..2099; 
subtype Month Number is Integer range 1..12; 
subtype Day Number is Integer range 1..31; 

subtype Day Duration is Duration range 0.0..86400.0; 


function Clock return Time; 


function Year(Date:Time) return Year Number; 
function Month(Date:Time) return Month_Number; 
function Day(Date:Time) return Day Number; . 
function Seconds(Date:Time) return Day Duration; 


procedure Split(Date:in Time; Year:out Year Number; 
Month:out Month Number; Day:out Day Number; 
Seconds:out Day Duration); 


function Time Of(Year:Year Number; Month:Month Number; 


Day:Day Number; Seconds:Day Duration :- 0.0) 
return Time; 
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function "+" (Left:Time;Right:Duration) return Time; 
function "+" (Left:Duration;Right:Time) return Time; 
function "-" (Left:Time;Right:Duration) return Time; 


function "-" (Left:Time;Right:Time) return Duration; 


function "«" (Left,Right:Time) return Boolean; 
function "«-" (Left,Right:Time) return Boolean; 
function ">" (Left,Right:Time) return Boolean; 
function ">=" (Left,Right:Time) return Boolean; 


Time Error:exception; 
-- Time Error 是 由 Time Of, Split," +" 和 “-”3 引 发 的 


private 
-- 依赖 于 实现 


end Ada.Calendar; 





类 型 Duration 是 预定 义 的 定点 实数 类 型 ， 表 示 一 段 时 间 间 隔 (相对 时 间 )。 它 的 精度 和 
表示 范围 都 是 依赖 于 实现 的 ， 不 过 它 的 范围 必须 至 少 是 - 86 400.0 ~ 86 400.0， 以 保证 能 记录 
一 天 的 秒 数 。 它 的 粒度 不 能 超过 20ms。 通 常 Duration 型 值 的 精度 为 秒 。 注 意 ， 除 了 上 面 的 
子 程序 以 外 ， Calendar 库 包 定义 了 Duration 和 Time 参 数组 合 的 算术 运算 符 和 Time 类 型 
值 的 比较 运算 符 。 

测量 执行 一 项 计算 所 用 时 间 的 代码 是 很 简单 的 。 注 意 “-” 运 算 符 的 用 法 ， 它 取 两 个 
Time 类 型 的 值 ， 返 回 一 个 puration 类 型 的 值 。 

declare 

Old Time, New Time : Time; 


Interval : Duration; 


begin 

Old Time :- Clock; 

-- 其 他 计算 

New_Time := Clock; 

Interval := New_Time - Old_Time; 
end; 


可 选 的 Real_Time 包 提供 了 另 一 种 语言 时 钟 ， 它 形式 上 和 calendar 很 相似 ,但 是 用 于 
给 出 更 精细 的 粒度 。 常 量 Time_Unit 是 Time 类 型 表示 的 最 小 时 间 值 。Tick 值 必须 不 大 于 一 
毫秒 ，Time 的 范围 (从 程序 启动 开始 ) 必须 至 少 是 五 十 年 。 

除了 提供 更 精细 的 粒度 ，Real_Time 包 的 Clock 被 定义 为 单调 的 。calendar 时 钟 音 在 提 
供 一 个 “挂钟 ”的 抽象 ， 提 供 间 年 、 疾 秒 和 其 他 的 调节 。 程 序 12-2 简 上 略 描述 了 Real _Time 包 。 


程序 12-2 Ada 的 Real_Time 包 


OO oo 
package Ada.Real Time is 


type Time is private; 

Time First: constant Time; 

Time Last: constant Time; 

Time Unit: constant := -- 实现 定义 的 实数 ; 


type Time Span is private; 


Time Span First: constant Time Span; 
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Time Span Last: constant Time Span; 
Time Span Zero: constant Time Span; 
Time Span Unit: constant Time Span; 


Tick: constant Time Span; 
function Clock return Time; 
function "+" (Left: Time; Right: Time Span) return Time; 


function "«" (Left, Right: Time) return Boolean; 
function "+" (Left, Right: Time Span) return Time Span; 
. function "<" (Left, Right: Time Span) return Boolean; 


function "abs" (Right : Time Span) return Time Span; 
function To Duration (Ts : Time Span) return Duration; 


function To Time Span (D : Duration) return Time Span; 


function Nanoseconds (Ns: Integer) return Time Span; 
function Microseconds (Us: Integer) return Time Span; 
function Milliseconds (Ms: Integer) return Time Span; 


type Seconds Count is range -- 实现 定义 


procedure Split(T : in Time; Sc: out Seconds Count; 
TS : out Time Span); 
function Time Of(Sc: Seconds Count; Ts: Time Span) return Time; 


private 
-- HHS 


end Ada.Real Time; . 
eee 
12.2.3 实时 Java 中 的 时 钟 

标准 Java 支 持 挂钟 的 概念 ， 因 此 具有 和 Ada 相 似 的 设施 。 在 Java 中 调用 java.1lang 包 中 
的 静态 方法 System.currentTimeMill1is 可 以 得 到 当前 的 时 间 。 这 个 方法 返回 从 格林 尼 治 

415) 标准 时 间 1970 年 1 月 1 日 午夜 开始 的 毫秒 数 。java. util 中 的 Date 类 在 创建 日 期 对 象 时 默认 
416| ”使 用 这 个 方法 。 —- 

实时 Java 为 这 些 实时 时 钟 设施 添加 了 高 精度 的 时 间 类 型 。 程序 12-3 是 这 个 高 精度 时 间 类 的 
基本 定义 的 一 个 概要 。 其 中 包括 了 读 、 写 和 比较 时 间 值 的 方法 。 这 个 抽象 类 有 三 个 子 类 : 一 
个 表示 绝对 时 间 ， 一 个 表示 相对 时 间 (类 似 于 Ada 的 Duration 类 型 )， 还 有 一 个 表示 有 理 时 
间 。 程 序 12-4 给 出 了 它们 的 定义 。 绝对 时 间 实 际 上 是 表示 为 从 格林 尼 治 国际 标准 时 间 1970 年 1 
月 1 日 开始 的 时 间 。 有 理 时 间 是 相对 时 间 类 型 ， 有 一 个 与 之 相关 联 的 频率 。 它 被 用 于 反映 某 些 
事件 〈 例 如 周期 线程 的 执行 ) 发 生 的 速度 。 


程序 12-3 实时 Java 的 HighResolutionTime 类 的 摘要 


Public abstract class HighResolutionTime implements 
java.lang.Comparable 
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public abstract AbsoluteTime absolute(Clock clock, 
AbsoluteTime destination); 


public boolean equals(HighResolutionTime time); 


public final long getMilliseconds(); 
public final int getNanoseconds(); 


public void set(HighResolutionTime time); 
public void set(long millis); 
public void set(long millis, int nanos); 








4HighResolutionTime, AbsoluteTime, RelativeTime 和 RationalTime 从 
字面 上 就 能 很 好 理解 。 但 absolute 方 法 需要 进一步 的 讨论 。 它 的 作用 是 将 封装 的 时 间 (可 
能 是 绝对 、 相 对 或 者 有 理 时 间 ) 转换 为 相对 于 某 个 时 钟 的 绝对 时 间 。 如 果 作 为 参数 传递 的 是 
一 个 AbsoluteTime 对 象 ， 这 个 对 象 就 被 更 新 ， 以 反映 封装 的 时 间 值 。 此 外 ， 这 个 更 新 后 的 
对 象 也 被 这 个 函数 返回 。 这 是 因为 如 果 将 一 个 空 对 象 作 为 参数 传递 ， 就 创建 并 返回 一 个 新 对 
象 。 在 Java 中 参数 是 按 值 复制 的 ， 因 而 参数 的 值 不 会 被 修改 。 所 以 ， 这 个 函数 有 必要 创建 一 
个 新 的 AbsoluteTime 对 象 并 返回 它 。 


程序 12-4 实时 Java 的 AbsoluteTime、 RelativeTime 和 RationalTime 类 
public class AbsoluteTime extends HighResolutionTime 
{ 
// 各 种 构造 器 方法 ， 包 括 
public AbsoluteTime(AbsoluteTime T); 
public AbsoluteTime(long millis, int nanos); 


public AbsoluteTime absolute(Clock clock, AbsoluteTime dest); 


public AbsoluteTime add(long millis, int nanos); 
public final AbsoluteTime add(RelativeTime time); 
public final RelativeTime subtract(AbsoluteTime time); 
public final AbsoluteTime subtract(RelativeTime time); 


) 


public class RelativeTime extends HighResolutionTime 
1 
// 各 种 构造 器 方法 ， 包 括 
public RelativeTime(long miliis, int nanos); 
public RelativeTime(RelativeTime time); 


public AbsoluteTime absolute(Clock clock, AbsoluteTime destination); 


public RelativeTime add(long millis, int nanos); 
public final RelativeTime add(RelativeTime time); 


public void addInterarrivalTOo(AbsoluteTime destination); 


public final RelativeTime Subtract(RelativeTime time); 
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public 
{ 


class RationalTime extends RelativeTime 


// 各 种 构造 器 方法 ， 包 括 


public 


public 


public 
public 
public 
public 


public 


} 





RationalTime(int frequency, RelativeTime interval) 
throws IllegalArgumentException; 


AbsoluteTime absolute(Clock clock, AbsoluteTime destination); 


void addInterarrivalTo(AbsoluteTime destination); 

int getFrequency(); 

RelativeTime getInterarrivalTime(RelativeTime destination); 
void set(long millis, int nanos) 

throws IllegalArgumentException; 

void setFrequency(int frequency) 

throws ArithmeticException; 
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程序 12-5 中 给 出 的 实时 Java 的 Clock 类 定义 了 派生 所 有 时 钟 的 抽象 类 。Java 语 言 容许 很 多 


不 同类 型 的 时 钟 ， 例 如 ， 可 以 有 一 个 测量 正在 用 掉 的 执行 时 间 的 时 钟 。 但 是 总 会 


一 个 与 外 


部 世界 同步 的 实时 时 钟 。getRealtimeClock 方 法 可 以 获取 这 个 时 钟 98。 该 类 还 提供 了 其 他 
的 一 些 方法 读 取 时 钟 的 精度 和 设置 时 钟 精度 (如 果 硬 件 允 许 的 话 )。 


一 


程序 12-5 实时 Java Clock 类 


public abstract class Clock 


{ 


public Clock(); 


public static Clock getRealtimeClock(); 


public abstract RelativeTime getResolution(); 


public AbsoluteTime getTime(); 
public abstract void getTime (AbsoluteTime time); 


public abstract void setResolution(RelativeTime resolution); 


H 


一 - 


测量 执行 某 项 运算 所 花 时 间 的 代码 如 下 : 


{ 


AbsoluteTime oldTime, newTime; 


RelativeTime interval; 
Clock clock = Clock.getRealtimeClock(); 


oldTime = clock.getTime(); 
// 其 他 计算 


newTime = clock.getTime(); 


interval = newTime.subtract(oldTime); 


) 


-一 一 一 一 一 一 c 


O 这 是 一 个 静态 方法 ， 因 此 可 以 直接 调用 ， 而 无 须 任何 子 类 的 知识 。 
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12.24 C 和 POSIX 中 的 时 钟 

ANSI C 中 有 一 个 标准 的 库 用 于 同 “日 历 ” 时 间 对 接 。 它 定义 了 一 个 基本 的 时 间 类 弄 
time t 和 几 个 处 理 时 间 类 型 对 象 的 例 程 。 程 序 12-6 定 义 了 其 中 几 个 函数 。POSIX 人 允许 在 一 个 
实现 里 支持 几 个 时 钟 。 每 个 时 钟 都 有 自己 的 (clockia_t 类 型 的 ) 标识 符 ，IEEE 标 准 还 要 求 
至 少 支持 一 个 时 钟 (CLOCK_REALTIME )。 程 序 12-7 是 一 个 典型 的 POSIX 时 钟 的 C 接 口 Bep 
的 返回 值 (通过 clock_gettime) 是 一 个 timespec 结 构 ，tv_sec 表 示 自 从 1970 年 1 月 1 日 
以 来 经 过 的 秒 数 ，tv_nsec 表 示 纳 秒 数 ( 它 是 一 个 很 大 的 数 ， 但 总 是 一 个 小 于 1 000 000 000 
的 非 负 数 一 一 C 没 有 提供 子 类 型 的 机 制 )。POSIX 要 求 CLOCK_REALTIME 的 最 小 精度 是 50Hz 
(20ms)， 函 数 clock_getres 可 以 设置 时 钟 的 精度 。 

执行 时 间 时 钟 将 在 12.8.1 小 节 讨 论 。 


程序 12-6 ANSI C 的 日 期 和 时间 接口 





typedef ... time t; 


struct tm { 


int tm sec; /* 分 之 后 的 秒 数 - [0，61] */ 

/* 61 RF 2 MBP */ 
int tm min; /* 小 时 之 后 的 分 钟 数 - [0，59] */ 
int tm hour; /* 午 丛 后 的 小 时 数 -= [0, 23] */ 
int tm mday; /* 月 的 日 - [1, 31] */ 
int tm mon; /* 自 元 月 的 月 数 - [0, 11] */ 
int tm year; /* A 1900 的 年 数 */ 
int tm wday; /* 自 星期 日 的 日 数 - [0, 6] */ 
int tm_yday; /* 自 元 月 1 日 的 日 数 - [0, 365] */ 


int tm isdst; /* 改变 夏令 时 间 的 标志 */ 
0M 
double difftime(time t timel, time t time2); 
/* 两 个 时 间 值 相 减 */ 
time t mktime(struct tm *timeptr); /* 组 成 一 个 时 间 值 */ 
time t time(time t *timer);/* 如 果 timer 不 为 空 ， 返 回 当 前 时 间 */ 
/* 它 还 将 该 时 间 放 到 那个 位 置 */ 
eee 


程序 12-7 C 到 POSIX 时 钟 的 接口 
eee 
#define CLOCK_REALTIME ...; 


#define CLOCK PROCESS CPUTIME ID ...; 
#define CLOCK THREAD CPUTIME ID ...; 


Struct timespec ( 
time t tv sec; /* FR */ 
long tv nsec; /* 纳 种 数 */ 
HE 
typedef ... clockid t; 


int clock gettime(clockid t clock id, struct timespec *tp); 
int clock settime(clockid t Clock id, const struct timespec *tp); 
int clock getres(clockid t clock id, struct timespec *res); 


int clock getcpuclockid(pid t pid, clockid t *clock id); 
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int clock_getcpuclockid(pthread_t_t thread_id, clockid_t *clock_id); 


int nanosleep(const struct timespec *rqtp, struct timespec *rmtp); 
/* 注意 ， 如 果 休 眼 被 中 断 ，nanosleeP 通过 一 个 信号 返回 -1。*/ 
/* 在 这 种 情况 下 ，rmtp MARRAIRE */ 


12.3 ”进程 延迟 

除了 访问 时 钟 外 ， 进 程 还 必须 能 够 将 其 执行 延迟 一 段 相对 时 间或 直到 将 来 的 某 个 绝对 时 
B. . 
12.3.1 相对 延迟 

相对 延迟 使 进程 可 以 加 入 到 某 个 未 来 事件 的 等 待 队列 ， 而 不 必 在 访问 时 钟 上 忙 等 待 。 例 
如 ， 下 面 的 Ada 代 码 表 示 一 个 任务 是 如 何 循环 等 待 10s 的 。 


Start := Clock; -- 来 自 calendar 

loop ' 
exit when {Clock - Start) > 10.0; 

end loop; 


为 了 减少 对 这 种 忙 等 待 的 需要 ， 大 多 数 的 语言 和 操作 系统 都 有 某 种 形式 的 延迟 原 语 。 在 
Ada 中 ， 这 是 一 个 延迟 语句 : 

delay 10.0; 
delay 后 面 的 数值 (Duration 类 型 ) 是 一 个 相对 值 ( 即 上 面 的 表达 式 表 示 从 当前 的 时 间 开 
始 延迟 10s， 负 值 当 作 零 处 理 ) 。 

在 POSIX 中 ， 当 和 需要 的 粒度 不 高 时 (比如 说 以 秒 计 ) 可 以 利用 “sleep” 系 统 调用 来 延迟 ， 
如 果 要 求 更 精细 的 粒度 则 使 用 “nanosleep”( 见 程序 12-7)。 第 二 个 系统 调用 是 按照 CLOCK_ 
REALTIME 时 钟 计时 的 。Java 提 供 了 与 POSIX 相 似 的 设施 。Thread 类 的 sleep 方 法 可 以 使 线 
程 以 毫秒 级 的 粒度 延迟 自身 。 RealtimeThread 类 支持 相对 某 个 时 钟 的 高 精度 休眠。 

重要 的 是 要 理解 延迟 或 者 休眠 仅仅 能 确保 进程 在 设 定 的 时 间 过 后 是 可 运行 的 在 任务 
重新 开始 运行 前 的 实际 延迟 当然 和 其 他 竞争 处 理 器 的 进程 有 关 。 还 应 当 注 意 ， 延 迟 的 粒度 和 
时 钟 的 粒度 不 一 定 要 相同 。 例如 POSIX 和 实时 Java 允 许 到 纳 秒 级 的 粒度 ， 但 现 有 的 系统 很 少 
能 支持 到 这 个 级 别 。 还 有 ， 内 部 时 钟 也 许 是 通过 中 断 实现 的 ， 中 断 可 能 会 被 阻塞 片刻 。 图 12- 
1 说 明了 影响 延迟 的 因素 。 | 
12.3.2 IER 

使 用 Ada 的 delay (POSIX 或 实时 Java 中 的 sleep) 可 以 支持 一 段 相 对 时 间 的 延迟 (例如 
从 现在 起 往 后 10s )。 如 果 需 要 延迟 到 一 个 绝对 的 时 间 点 ， 那么 或 是 程序 员 自 己 计 算出 延迟 时 
间 的 长 度 ， 或 是 系统 提供 另外 的 原 语 。 例 如 ， 要 使 一 个 动作 在 另 一 动作 开始 之 后 10s 执 行 ， 可 
以 使 用 下 面 的 Ada 代 码 (使 用 calendar ): 


Start := Clock; 


8 事实 上 ， 在 POSIX 里 如 果 收 到 信号 ， 进 程 可 以 提前 被 唤醒 。 这 时 进程 返回 一 个 出 错 指 示 ，rmpt 参 数 返回 剩 下 的 
延迟 时 间 。jJava 里 也 有 相似 的 情况 。 如 果 一 个 线程 被 中 断 了 ， 它 会 被 唤醒 并 且 抛 出 InterruptedException 
对 象 。 在 Ada 中 ， 被 延迟 的 任务 只 有 在 select-then-abort 语 句 中 才能 被 提前 唤醒 。 
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图 12-1 延迟 时 间 
First Action; 
delay 10.0 - (Clock - Start); 
Second Action; 


但 是 ， 这 段 代码 可 能 不 会 得 到 希望 的 结果 。 要 让 这 种 算法 按照 设想 的 行为 执行 ， 那 么 
delay 10.0 - (Clock - Start); 
应 该 是 一 个 不 可 中 断 (原子 ) 动作 ， 而 事实 上 并 不 是 。 比 如 .假设 First_RAction 用 了 2s， 
那么 
10.0 - (Clock - Start); 
就 等 于 8s。 但 算出 这 个 值 后 ， 如 果 这 个 任务 被 另 一 个 任务 抢占 了 ， 可 能 要 过 一 段 时 间 (比如 
说 3s) 它 才 能 重新 运行 。 这 时 它 还 是 会 延迟 8s 而 不 是 5s 。 为 了 解决 这 个 问题 ，Ada 引 入 了 
delay unti1l 语 句 : 
Start := Clock; 
First_Action; 
delay until Start + 10.0; 
Second_ Action; 
像 延迟 一 样 ，aelay until 产 生 的 延迟 只 有 下 界 是 精确 的 。 涉 及 的 任务 在 这 种 语句 设 定 
的 时 间 到 达 之 前 是 不 会 从 延迟 中 恢复 的 ， 但 在 设 定 的 时 间 到 达 之 后 可 以 恢复 。 
相对 和 绝对 延迟 产生 的 时 差 叫做 局 部 漂移 ， 它 是 不 能 消除 的 。 然 而 ， 有 可 能 消除 积累 漂 
移 ， 它 是 由 局 部 漂移 侄 加 产生 的 。 下 面 的 Ada 代 码 说 明了 如 何 使 Action 运 算 平均 每 7s 执 行 一 
次 。 这 段 代码 会 补偿 任何 局 部 和 漂移。 例如， 如果 相 邻 的 两 次 调用 Action 实 际 间 隔 7.4s， 下 一 
次 延迟 就 会 只 有 6.6s (近似 值 )。 
declare 
Next : Time; 
Interval : constant Duration := 7.0; 
begin 
Next := Clock + Interval; 
loop 
Action; 


delay until Next; 
Next := Next + Interval; 
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end loop; 
end; 


实时 Java 的 sleep 方 法 (定义 在 RealtimeThread 类 里 ) 可 用 于 相对 和 绝对 两 种 延迟 。 

occam2 只 支持 绝对 延迟 。 为 了 强调 其 可 调整 的 语义 ， 它 使 用 了 关键 字 AFTER。 如 果 一 个 
进程 要 等 待 10s， 它 必须 首先 读 取 TIMER 时 钟 ， 加 上 10s， 然 后 延迟 到 那个 时 刻 。 在 这 段 程序 
里 我 们 引入 了 常量 G 来 给 出 当前 实现 的 粒度 (G 是 TIMER 每 秒 更 新 的 次 数 )， 增 加 的 10s 就 是 通 
过 G 得 到 的 

SEQ 


clock ? now 
clock ? AFTER now PLUS (10 * G) 


occam2 中 避免 累积 漂移 的 代码 如 下 : 


INT next, now: 
VAL interval IS 7*G: 
SEQ 
clock ? now 
next := now PLUS interval 
WHILE TRUE 
SEQ 
ACTION 
clock ? AFTER next 
next := next PLUS interval 


利用 一 个 绝对 定时 器 和 等 待定 时 到 期 时 发 出 的 信号 ，POSIX 也 可 以 构造 绝对 延迟 ( 见 
12.8.1 小 节 )。 


12.4 超时 的 编程 


也 许 对 于 嵌入 式 系统 最 简单 的 时 间 约 束 是 要 求 能 够 对 外 部 事件 没有 发 生 的 事实 做 出 识别 
和 反应 。 例 如 ， 一 个 温度 探测 器 可 能 需要 每 秒 记录 一 次 读数 ， 规 定 10s 之 内 没有 读数 为 故障 ， 
一 般 来 说 ， 超 时 (timeout) 是 进程 准备 为 等 待 一 次 通信 所 花 时 间 的 限制 。 第 8 章 和 第 9 童 已 经 
详细 讨论 了 进程 间 通 信 的 设施 。 任 何 一 种 在 实时 环境 下 使 用 的 通信 设施 都 需要 用 到 超时 。 

除了 等 待 通信 外 ， 动 作 的 执行 也 要 需要 超时 。 比 如 说 一 个 程序 员 也 许 需 要 一 段 代码 在 确 
定 的 时 间 内 执行 。 如 果 在 运行 时 没有 做 到 这 一 点 ， 可 能 就 需要 某 种 出 错 恢复 。 

12.4.1 共享 变量 通信 和 超时 

在 第 8 章 里 讨论 了 各 种 基于 共享 变量 的 通信 和 同步 机 制 。 临 界 段 的 互 斥 访问 和 条 件 同步 都 
古 很 重要 的 需求 。 如 果 要 访问 已 经 有 其 他 进程 活动 的 临界 自 ， 进 程 就 会 被 阴 罕 。 进 程 被 阻 案 
的 时 间 取决 于 临界 段 代码 的 运行 时 间 和 希望 进入 临界 段 的 其 他 进程 的 数目 。 因 此 ， 并 不 认为 
洗 须 有 一 个 关于 试图 进入 临界 段 的 超时 《然而 ，POSIX 确 实 提供 了 这 种 超时 )。13.10 节 会 详 
细 研 究 分 析 这 种 阻塞 时 间 的 问题 。 

同 临界 段 互 斥 相 比 ， 与 条 件 同步 相关 的 阻塞 取决 于 特定 的 应 用 并 且 难 干 确定 .例如 ，_. 
人 站 图 在 一 个 满 的 缓冲 区 放置 数据 的 生产 者 进程 必须 等 待 消费 者 进程 取出 数据 来 腾 出 空间 
和 寺 和 者 进程 可 能 在 相当 的 一 段 时 间 里 没 能 做 好 读 取 数据 的 准备 。 因 此 ， 让 进程 能 够 在 等 人 
条 件 同步 的 时 候 有 超时 选择 是 很 重要 的 。 
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第 8 章 讨 论 的 条 件 同 步 设 施 包括 : 
"信号 量 
。 条 件 临 界 区 
“ 管 程 、 互 斥 锁 和 同步 方法 中 的 条 件 变 量 
。 保 护 对 象 的 人口 
实时 Euclid (Kligerman and Stoyenko, 1986) 使 用 信号 量 并 且 扩 充 了 wait 的 语义 使 之 包含 
时 间 界 。 下 面 这 个 表达 式 说 明了 一 个 进程 如 何在 一 个 超时 值 为 10s 的 cALL 信 号 量 下 挂 起 自己 的 : 
wait CALL noLongerThan 10 : 200 
如 果 这 个 进程 在 10s 之 内 没有 收 到 信号 ， 就 会 引发 异常 200 (实时 Euclid 中 的 异常 是 按 数字 编号 
的 )。 然 而 ， 要 注意 这 条 语句 并 没有 要 求 进程 真 的 在 10s 之 内 被 调度 并 执行 。 所 有 的 超时 设施 
都 是 这 样 的， 它们 只 是 指出 进程 应 该 转 到 可 运行 状态 。 
POSIX 支 持 等 待 信号 量 或 者 条 件 变量 的 显 式 超 时 〈 见 程序 8-2 和 8-3)。 下 面 的 语句 说 明了 
一 个 进程 如 何在 一 个 绝对 超时 值 为 timeout 的 信号 量 call 上 挂 起 自己 : 
if (sem_timedwait(&call, &timeout) < 0) { 
if (errno == ETIMEDOUT) { 
/* 发 生 了 超时 */ 
cise { 


/* 其 他 出 错 */ 
} 

} else { 
/* 锁 上 信号 量 */ 
u 
如 果 这 个 信号 量 没 有 被 timeout 锁 住 ，errno 就 被 置 为 ETIMEDOUT。 

Ada 的 保护 对 象 使 用 了 回避 同步 ， 因 此 在 保护 人口 调 用 的 地 方 必 须 使 用 超时 。 由 于 Ada 用 
和 任务 入 口 调用 相同 的 方式 处 理 保护 入 口 调用 ， 所 以 需要 使 用 相同 的 超时 机 制 。 下 面 将 从 消 
息 传递 的 角度 来 描述 这 种 方法 。 

对 于 Java 来 说 ，wait 方 法 可 以 使 用 毫秒 粒度 或 纳 秒 粒度 的 超时 。 
12.4.2 消息 传递 和 超时 

第 9 章 已 经 讨论 了 几 种 不 同 的 消息 传递 方式 。 所 有 的 方式 都 需要 用 到 同步 。 即 便 是 在 异步 
系统 里 ， 一 个 进程 也 会 希望 等 待 某 个 消息 (或 发 送 进程 的 消息 缓冲 区 装 满 了 )。 如 果 利 用 同步 
请 息 传递 ， 进 程 一 旦 参与 一 次 通信 就 必须 一 直 等 待 到 通信 结束 。 因 此 要 有 超时 设施 。 为 了 说 
明 关于 超时 的 编程 ， 首 先 考虑 一 个 控制 器 任务 ， 它 被 某 个 另外 的 驱动 器 任务 调用 ， 并 返回 新 
的 温度 读数 ( Ada 代码 ): 

task Controller is 


entry Call(T : Temperature); 
end Controller; 


task body Controller is 
-- 声明 
begin 


loop 
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accept Call(T : Temperature) do 
New_Temp := T; 
end Call; 
-- 其 他 动作 
end loop; 
end Controller; 


现在 需要 修改 一 下 这 个 控制 器 ， 使 得 缺失 的 和 人口 调用 得 以 起 作用 。 我 们 可 以 利用 前 面 讨论 过 
的 构造 提供 这 个 需求 。 第 二 个 任务 用 于 延迟 自己 一 段 超时 时 间 ， 然 后 调用 控制 器 。 如 果 控 制 
器 在 正常 的 Cal1 调 用 前 被 该 任务 调用 ， 那 么 就 发 生 了 超时 。 
task Controller is 
entry Call(T : Temperature); 
private 
entry Timeout; 
end Controller; 


task body Controller is 
task Timer is 
entry Go(D : Duration); 
end Timer; 
-- 其 他 声明 
task body Timer is 
Timeout_Value : Duration; 


begin 
accept Go(D : Duration) do 
Timeout_Value := D; 
end Go; 


delay Timeout Value; 
Controller.Timeout; 
end Timer; 
begin 
loop 
Timer.Go(10.0); 
select 
accept Call(T : Temperature) do 
Mew Temp :- T; 
end Call; 
or 
accept Timeout; 
-- 超时 动作 
end select; 
-- 其 他 动作 
end loop; 
end Controller; 


尽管 这 段 代码 只 处 理 首次 超时 时 段 ， 但 能 够 把 它 加 以 修改 (很 可 观 的 改动 ) 使 之 有 持续 性 。 
此 外 ， 由 于 需要 用 到 超时 的 情况 很 普遍 ， 因 此 希望 有 一 个 更 简明 地 表示 它 的 方式 。 在 实时 语 
言 里 ， 它 常常 作为 选择 性 等 待 的 一 种 特别 备 选 形式 提供 。 上 面 的 例子 可 以 更 恰当 地 编码 如 下 : 


task Controller is 


entry Call(T : Temperature); 
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end Controller; 


task body Controller is 
-- 声明 
begin 
loop 
select 
accept Call(T : Temperature) do 
New_Temp := T; 
end Call; 
or 
delay 10.0; 
-- 超时 动作 
end select; 
-- 其 他 动作 
end loop; 
end Controller; 


当 延 迟 时 间 到 期 后 , 延迟 备 选 变 为 就 绪 状 态 。 一 旦 这 个 备 选 被 选中 ( 即 10s 内 还 没有 调用 cal1 )， 


就 执行 delay 后 面 的 语句 。 
上 面 的 例子 使 用 了 相对 延迟 ， 但 也 可 用 绝对 延迟 。 考 虑 下 面 的 代码 ， 它 使 一 个 任务 能 一 


直到 Closing_Time 时 刻 之 前 都 接受 登录 。 


task Ticket_Agent is 
entry Registration(...); 
end Ticket Agent; 


task body Ticket_Agent is 
-- 声明 
Shop_Open : Boolean := True; 
begin 
while Shop Open loop 
select 
accept Registration(...)do 
~~ 登录 的 具体 情况 
end Registration; 
or 
' delay until Closing_Time; 
Shop_Open := False; 
end select; 
-- 处 理 登 录 
end loop; 
end Ticket Agent; 


在 Ada 模 型 中 ， else 部 分 、 终 止 备 选 和 延迟 备 选 是 不 能 混合 使 用 的 。 这 三 种 结构 是 互 斥 的 ， 因 
此 一 个 选择 语句 最 多 只 能 有 其 中 的 一 个 。 但 是 如 果 是 使 用 延迟 备 选 ， 则 选择 语句 可 以 有 很 多 
延迟 备 选 ， 前 提 是 它们 必须 都 是 同一 种 延迟 (都 是 delay 或 都 是 delay until)。 每 次 只 有 延迟 时 
间 最 短 的 或 绝对 到 达 时 间 最 早 的 才 可 能 被 执行 。 

超时 设施 在 基于 消息 的 并 发 编程 语言 里 很 常见 。 和 Ada 一 样 ，occam2 使 用 delay 原 语 作为 
声明 超时 的 选择 性 等 待 的 一 部 分 : 
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WHILE TRUE 
SEQ 
ALT 
Call ? new temp 
-- 其 他 动作 
clock ? AFTER (10 * G) 
-- 超时 动作 
这 里 时 钟 是 ZIMBER 。 
occam2 和 Ada 的 例子 都 说 明了 如 何 编写 关于 消息 接收 的 超时 。Ada 还 进一步 容许 消息 发 送 
的 超时 。 为 了 说 明 这 一 点 ,设想 一 个 在 上 面 的 Ada 代 码 中 将 温度 读数 送 往 控制 器 的 设备 驱动 
程序 : 
loop 
-- 取 来 新 温度 了 
Controller.Call(T): 
end loop; 
由 于 新 的 温度 读数 在 不 断 地 产生 (并 且 把 过 时 的 数据 提供 给 控制 器 是 没有 意义 的 )， 设 备 驱动 
程序 可 能 希望 在 撤销 这 个 调用 前 为 等 待 控制 器 只 挂 起 半 秒 钟 。 通 过 使 用 -个 具有 单一 人 口 调 
用 和 单一 延迟 备 选 的 特殊 形式 的 选择 语句 可 以 实现 这 一 点 : 
loop 
-~ 取 来 新 温度 T 
select 
Controller.Call(T); 
delay 0.5; 
null; 
end select; 
end loop; 
这 个 au11 不 是 一 定 必须 的 ， 但 它 表 示 了 delay 后 面 可 以 有 任意 的 语句 ， 如 果 在 入 口 调用 被 接 
收 之 前 延迟 时 间 已 到 ， 就 会 执行 这 些 语句 。 这 是 一 种 特殊 的 选择 形式 ， 它 不 能 有 -一 个 以 上 的 入 
口 调用 也 不 能 混合 入 口 调 用 和 接受 语句 。 它 调用 的 动作 叫做 限时 入 口 调用 。 必 须要 强调 的 是 ， 
在 这 个 调用 里 规定 的 时 间 是 被 接收 的 调用 的 超时 值 ， 它 不 是 相关 联 的 接受 语句 终止 的 超时 值 ， 
如 果 一 个 任务 只 是 当 被 调用 的 任务 立即 响应 调用 时 才 发 出 入口 调用 ， 那 么 就 不 要 发 出 时 
间 为 零 的 限时 入 口 调用 ， 而 要 发 出 条 件 入 口 调用 : 


select 

T.E; -- 任务 rz 的 入 口 E 
else 

-~ 其 他 动作 


end select; 


只 有 当 任 务 T 没 有 准备 好 立即 响应 E 时 ,“ 其 他 动作 ” 才 会 执行 。“ 立 即 ” 意 味 着 T 已 经 被 
挂 在 accept 了 或 者 一 个 具有 打开 备 选 (并 被 选中 ) 的 选择 语句 上 。 

上 面 的 例子 已 经 利用 进程 间 道 信 的 超时 ， 同 样 可 以 在 Ada 中 的 保护 对 象 上 进行 限时 或 条 件 
AH BI: 


select 
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P.E;  -- E 是 保护 对 象 P 中 的 一 个 人 口 
or 
delay 0.5; 


end select; 


12.43 动作 上 的 超时 
在 10.5 节 讨论 了 允许 进程 用 异步 通知 改变 其 控制 流 的 问题 。 超 时 可 以 被 看 作 是 这 样 的 一 种 
通知 ， 因 此 如 果 支 持 异 步 通 知 ， 就 可 以 使 用 超时 。 恢 复 模型 (异步 事件 ) 和 终止 模型 (异步 
控制 转移 ) 都 可 以 增补 超时 。 然 而 ， 对 于 动作 上 的 超时 来 说 ， 需 要 的 是 终止 模型 。 
例如 ， 在 10.8 节 介绍 了 Ada 的 异步 控制 转移 (ATC) 设施 。 在 ATC 中 ， 如 果 在 动作 完成 之 
前 发 生 了 触发 事件 ， 这 个 动作 可 被 中 止 。 其 中 一 个 允许 的 触发 事件 是 时 间 的 流逝 。 为 了 说 明 
这 一 点 ， 考 虑 一 个 任务 ， 它 包含 一 个 必须 在 100ms 内 完成 的 动作 。 下 面 的 代码 直接 支持 这 个 
需求 : 
select 
delay 0.1; 
then abort 
-- 动作 
end select; 
如 果 这 个 动作 花 了 太 长 的 时 间 ， 触 发 事件 就 会 发 生 ， 并 且 这 个 动作 将 被 中 止 。 显 然 这 是 
一 个 捕捉“ 失控 代码 ”的 有 效 方法 。 
超时 常常 同 出 错 状 态 相关 ， 如 果 通 信 没 有 在 Xms 内 发 生 ， 就 可 能 发 生 了 意外 的 事情 ， 必 须 
采取 矫正 动作 。 但 这 并 不 是 它 惟一 的 用 途 。 考 虑 有 一 个 强制 部 分 和 一 个 可 选 部 分 的 任务 。 强 
制 部 分 的 计算 (很 快 地 ) 得 到 满意 的 结果 ， 赋 给 一 个 保护 对 象 。 这 个 任务 必须 在 固定 的 时 间 
里 完成 ， 但 如 果 在 强制 部 分 计算 完成 后 还 有 时 间 ， 可 选 算法 可 以 增 量 式 地 改进 输出 的 值 。 要 
编写 出 这 样 的 程序 同样 需要 动作 上 的 超时 。 
declare 
Precise Result : Boolean; 
begin 
Completion Time := ... 
-- 强制 部 分 
Results.Write(...); -- 调用 外 部 保护 对 象 中 的 过 程 
select 
delay until Completion_Time; 
Precise Result := False; 
then abort 
while Can Be Improved loop 
-- 改进 结果 
Results.Write(...); 
end loop; 
Precise Result :- True; 
end select; 
end; 


注意 ， 即 使 在 写 保护 对 象 过 程 中 超时 时 间 已 过 ， 它 还 是 会 正确 完成 它 的 操作 ， 这 是 因为 对 保 
护 对 象 的 调用 是 一 个 中 止 延期 动作 ( 即 中 止 的 影响 推迟 到 任务 离开 该 保护 对 象 之 后 ). 


4A 
Ke] 








430 
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在 实时 Java 里 ， 动作 上 的 超时 是 由 一 个 名 为 Timed 的 AnsychronouslyInterrupted 
Exception 子 类 提供 的 。 在 程序 12-8 里 定义 了 这 个 类 ( 见 144.3 小 节 关 于 java.io.Sserializable 
的 信息 )。 


程序 12-8 实时 Java 的 类 Timed 





public class Timed extends AsynchronouslyInterruptedException 


implements java.io.Serializable 


public Timed (HighResolutionTime time) throws IllegalArgumentException; 
public boolean doInterruptible(Interruptible logic); 


public void resetTime (HighResolutionTime time); 
} 
eee 
上 面 Ada 的 例子 可 以 用 实时 Java 写 成 : 
public class PreciseResult 
{ 
public resultType value; // 结果 
public boolean preciseResult; // 指出 它 是 否 不 精确 
} 


public class ImpreciseComputation 
{ 
private HighResolutionTime CompletionTime; 
private PreciseResult result = new PreciseResult(); 


public ImpreciseComputation(HighResolutionTime T) 


{ 
CompletionTime = T; // 可 以 是 绝对 的 或 相对 的 
} 
private resultType compulsoryPart() 
{ 
// 计算 强制 部 分 的 函数 
}; 
public PreciseResult Service() // 公共 服务 
{ 
Interruptible I = new Interruptible() 
{ 


public void run(AsynchronouslyInterruptedException exception) 
throws AsynchronouslyInterruptedException 


{ 
// 这 是 一 个 改善 强制 部 分 的 可 选 函 数 


boolean canBeImproved = true; 


- while(canBeImproved) 
{ 
// 改进 结果 
synchronized(this) { 


/4 写 结果 同步 语句 确保 写 操作 的 原子 性 
; 
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} 


result.preciseResult = true; 
} 
public void interruptAction ( 
AsynchronouslyInterruptedException exception) 
{ 
result.preciseResult = false; 
} 
yi 
Timed t = new Timed (CompletionTime) ; 


result.value = compulsoryPart(); // 计算 强制 部 分 
if(t.doInterruptible (I)) 
/ /执行 timer 的 可 选 部 分 


return result; 


A 
UJ 
一 


else...; 
} 
} 


超时 是 实时 系统 的 重要 特性 ， 但 它 远 非 惟一 重要 的 时 间 约束 。 这 一 章 余下 部 分 以 及 下 一 
章 过 论 时 限 这 个 更 广泛 的 主题 以 及 如 何 确保 满足 它 。 


12.5 规定 时 间 性 需求 


对 于 许多 重要 的 实时 系统 来 说 ， 软 件 在 逻辑 上 正确 还 不 够 ， 程 序 还 必须 满足 底层 物理 系 
统 所 确定 的 时 间 性 约束 。 这 些 约 束 远 远 超出 了 简单 的 超时 。 令 人 遗憾 的 是 ， 现 有 关于 大 型 实 
时 系统 的 工程 实践 基本 上 还 只 是 为 特定 目的 的 。 通 常 一 个 逻辑 正确 的 系统 被 规定 、 设 计 和 构 
造 (也 许 只 是 一 个 原型 ) 之 后 ， 就 通过 测试 看 看 是 否 满足 它 的 时 间 性 需求 。 如 果 不 满足 ， 接 
下 来 就 是 各 种 细微 的 调试 和 重 写 。 其 结果 是 一 个 难于 理解 和 维护 升级 费用 很 高 的 系统 。 因 此 
我 们 需要 更 加 系统 化 处 理 时 间 的 方法 。 

关于 更 加 严格 地 处 理 实时 系统 的 时 间 性 需求 的 研究 工作 基本 上 有 两 种 不 同 的 方法 。 一 种 
发 展 的 方向 是 考虑 使 用 形式 化 定义 的 语言 语义 和 时 间 性 需求 ， 配 合 以 能 表示 和 分 析 时 序 属 性 
的 记号 和 逻辑 。 另 一 种 是 关注 基于 在 现 有 资源 (处理 器 等 等 ) 上 调度 所 需 工作 负荷 的 可 行 性 
上 的 实时 系统 的 性 能 。 

这 本 书 主要 集中 在 后 一 种 工作 上 。 这 有 三 个 原因 : 首先 ， 形式 化 技术 还 没 成 熟 到 能 对 大 
型 的 复杂 实时 系统 进行 推理 ; 其 次 ， 很 少 报道 在 实际 的 实时 系统 中 使 用 这 种 技术 的 经 验 ; 最 
后 ， 完 整地 讨论 这 个 方法 要 介绍 大 量 超出 本 书 范围 的 素材 。 这 并 不 是 意味 着 这 一 领域 姓 实 时 
系统 无 关 。 对 建立 在 CSP、 时 态 逻 辑 、 实 时 逻辑 、 模 型 检查 上 的 形式 化 技术 和 融入 时 章 概念 
的 规格 说 明 技术 的 理解 正 变 得 越 来 越 重 要 。 例如 RTL (实时 逻辑 ) 能 用 来 验证 系统 的 时 序 需 
求 ， 从 而 补充 了 在 分 析 功能 需求 时 VDM 和 Z 之 类 方法 的 应 用 。 

模型 检查 在 验证 功能 特性 中 的 成 功 最 近 扩 展 到 了 实时 领域 。 系 统 被 看 作 是 一 个 定时 自动 
机 【《 即 带 时 钟 的 有 限 状 态 机 ) 的 模型 ， 模 型 检查 用 于 “证 明 ” 不 会 到 达 非 理想 状态 ， 或 在 革 
个 内 部 时 钟 到 达 临界 时 间 (时 限 ) 之 前 进入 理想 的 状态 。 后 面 的 特性 称 为 有 界 活性 (bounded 
liveliness)。 尽 管 模型 检查 的 探索 受制 于 状态 爆炸 ， 还 是 有 一 些 现 有 的 工具 能 处 理 一 定 规模 的 “3 习 
问题 。 这 项 技术 可 能 在 未 来 几 年 内 成 为 标准 工业 方法 。 
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实时 系统 的 验证 可 以 从 使 用 上 解释 成 一 个 两 步 过 程 : 
1) 需求 /设计 验证 一 一 给 定 一 个 无 限 高 速 可 靠 的 计算 机 ， 时 序 需 求 是 否 一 致 连贯 ? 换 句 话 


说 ， 它 们 都 有 被 满足 的 可 能 吗 ? 
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2) 实现 验证 一 一 通过 一 套 有 限 的 (可 能 是 不 可 靠 的 ) 硬件 资源 ， 能 否 满足 时 序 需求 ? 
如 上 所 述 ， 第 一 个 问题 可 能 要 用 到 形式 化 推理 (或 模型 检查 或 者 两 者 同时 使 用 ) 来 验证 
能 否 满 足 必需 的 时 序 (和 因果 ) 次 序 。 例 如 ， 假 设 A 事 件 必 须 在 B 事 件 之 前 结束 ， 但 它 依赖 于 
发 生 在 B 事 件 之 后 的 某 个 C 事 件 ， 这 时 不 管 处 理 器 有 多 快 都 不 可 能 满足 这 些 需 求 。 因 此 早 一 点 
认识 到 这 种 困难 是 很 有 用 的 。 第 二 个 问题 (实现 验证 ) 是 后 面 一 章 的 主题 。 这 一 章 剩 下 的 部 
分 将 主要 讨论 如 何 用 语言 表示 时 序 需 求 。 


12.6 时 序 作用 域 


.为 了 便于 规定 在 实时 应 用 中 的 各 种 不 同时 间 约 束 ， 引 入 时 序 作用 域 (temporal scope) 的 
概念 是 很 有 用 的 。 这 种 作用 域 标识 一 组 语句 和 与 之 相关 联 的 一 个 时 间 约 束 。 图 12-2 描 述 了 时 
序 作 用 域 (TS) 可 能 的 属性 ， 它 们 包括 : 

1) 时 限 一 一 TS 的 执行 必须 完成 的 时 间 点 ; 


2) 最 小 延迟 
3) 最 大 延迟 








TS 开始 执行 前 必须 经 过 的 最 短 时 间 ; 
TS 开始 执行 前 容许 经 过 的 最 长 时 间 ; 


4) 最 长 执行 时 间 一 一 TS 的 最 长 执行 时 间 ; 
5) 最 长 存在 时 间 一 一 TS 的 最 长 存在 时 间 。 
共有 这 些 属 性 的 组 合 的 时 序 作 用 域 也 是 可 能 的 。 


现在 


时 间 


时 限 


口 执行 单位 
最 长 执行 时 间 =a+b+e 


图 12-2 时 序 作用 域 
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时 序 作用 域 可 以 被 描述 成 周期 的 或 者 是 非 周期 的 。 周 期 时 序 作用 域 通常 进行 数据 采样 ， 
或 者 执行 一 个 控制 循环 ， 并 有 必须 满足 的 显 式 时 限 。 使 用 非 周 期 或 偶发 的 时 序 作 用 域 常常 是 
因为 出 现在 嵌入 式 计算 机 之 外 的 异步 事件 。 这 些 作用 域 都 有 自己 特定 的 响应 时 间 。 

通常 认为 非 周期 时 序 作用 域 是 被 随机 激活 的 并 服从 泊 松 (Poisson) 分 布 。 这 种 分 布 允许 
外 部 事件 集中 到 达 ， 并 不 排除 非 周期 活动 的 任何 可 能 的 集中 。 因 此 无 法 做 最 坏 情况 分 析 (在 
给 定 的 时 间 发 生 任何 数目 的 非 周 期 事件 都 有 非 零 概率 )。 为 了 可 以 做 最 坏 情 况 估算 ， 常 常 定义 
两 次 非 周 期 事件 (同一 来 源 ) 之 间 的 最 短 时 间 。 如 果 是 这 种 情况 的 话 ， 涉 及 的 进程 就 称 为 偶 
发 的 。 本 书 一 般 情 况 下 使 用 “ 非 周期 的 ”这 个 术语 ,“ 偶 发 的 ” 则 用 于 需要 最 小 延迟 的 情况 。 

在 很 多 实时 语言 里 ， 时 序 作用 域 实 际 上 与 体现 它们 的 进程 相关 联 。 进 程 依据 其 内 部 时 序 
作用 域 的 属性 分 为 周期 的 、 非 周期 的 或 是 偶发 的 。 因 此 前 面 列 出 的 大 部 分 时 间 属 性 可 以 这 样 
满足 : 

1) 以 正确 的 速率 运行 周期 性 进程 ; 

2) 在 时 限 之 前 完成 所 有 的 进程 。 

因此 满足 时 间 约束 的 问题 就 变 成 了 一 个 调度 进程 满足 时 限 的 要 求 或 者 时 限 调度 问题 。 将 
时 序 作用 域 分 解 为 两 个 优先 性 相关 的 进程 可 以 实现 最 大 延迟 需求 。 第 一 个 进程 代表 TS 的 早期 
阶段 ， 因 此 可 以 有 一 个 时 限 保证 不 违反 最 大 开始 延迟 。 需 要 这 种 结构 的 应 用 来 自 一 个 先 读 出 
传感器 的 读数 ， 然 后 产生 一 个 输出 的 计算 。 为 了 精确 控制 读 传感器 的 时 间 ， 这 个 初始 动作 需 
要 一 个 严格 的 时 限 。 这 样 ， 输 出 可 以 在 后 一 个 时 限 到 达 之 前 产生 。 传 感 器 读 入 或 者 制动器 值 
输出 时 间 的 变化 叫做 输入 拌 动 和 输出 拌 动 。 

尽管 所 有 的 计算 机 系统 都 尽力 做 到 高 效 ， 并 且 很 多 被 描述 成 实时 的 ， 还 是 需要 进一步 的 分 
类 ， 以 充分 区 分 各 种 应 用 中 时 间 性 的 不 同 重要 程度 。 如 在 这 本 书 的 引言 部 分 指出 的 ， 如 果 系 
统 的 时 限 必 须 不 能 错过 否则 系统 就 会 失败 ， 我 们 就 称 这 种 系统 是 硬 实 时 的 。 相 比 之 下 ， 如 果 
系统 容许 时 限 错 过 ， 那 么 它 是 软 实时 的 。 如 果 没 有 特定 的 时 限 而 只 是 力求 “足够 的 响应 时 间 ”， 
则 系统 仅仅 是 交互 式 的 。 更 精确 一 点 ， 具 有 软 时 限 的 进程 仍 会 在 时 限 错过 后 提供 服务 一 系统 
仍然 从 推迟 的 服务 中 获取 某 种 有 用 的 东西 。 具 有 确定 的 严格 时 限 ( 即 推迟 的 服务 是 无 用 的 或 
无 价值 的 ) 的 非 硬 实时 进程 称 作 固 实时 进程 。 

在 容错 系统 中 ， 硬 、 固 和 软 实时 的 区 别 变 得 有 点 模糊 不 清 。 然 而 ， 如 果 错过 的 时 限 触 发 
一 个 特定 的 出 错 恢复 (故障 保护 ) 例 程 就 使 用 术语 “ 硬 实时 ”， 如 果 应 用 的 本 性 容许 偶尔 错过 
时 限 或 者 稍微 错过 时 限 就 使 用 术语 “ 软 实时 / 固 实时 ”。 最 后 ， 要 注意 很 多 硬 实时 系统 会 有 一 
些 软 时 限 和 固 时 限 。 
规定 进程 和 时 序 作用 域 

在 实时 系统 里 ， 需 要 显 式 地 处 理 时 间 性 需求 ， 前 面 给 出 了 五 种 类 型 。 下 面 是 一 个 周期 性 
进程 的 一 般 框 架 : 


process periodic P; 


begin 
loop 
IDLE 
时 序 作用 域 的 开始 
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时 序 作用 域 的 结束 


end; 


A 
UA 
cA 


end; 

时 间 约 束 采 用 了 IDLE 的 最 长 和 /或 最 短 时 间 的 形式 ， 并 包括 了 在 某 个 时 限 之 前 结束 这 个 时 
序 作 用 域 的 需求 。 这 种 时 限 本 身 可 以 用 下 面 任 一 种 方式 表示 : 

* 绝对 时 间 

* 自 时 序 作用 域 开始 起 的 执行 时 间 

* 自 时 序 作 用 域 开始 起 流逝 的 时 间 

如 果 这 个 进程 正在 采样 数据 ， 采 样 的 动作 应 该 放 在 该 时 序 作用 域 的 开始 ， 因 此 IDLE 周 期 
的 准确 性 很 重要 。 这 个 时 序 作用 域 应 该 包含 对 这 个 数据 的 必要 处 理 (或 仅仅 是 缓冲 ) ， 它 结束 
的 时 限 只 是 保证 该 进程 能 够 进入 下 一 轮 循 环 并 及 时 进行 下 一 个 读 取 。 

对 于 一 个 发 送 定时 控制 信号 的 进程 来 说 ， 时 序 作用 域 加 入 所 有 计算 信号 值 所 需 的 运算 
(可 能 包括 获取 外 部 读 人 )。 这 个 信和 号 在 该 时 序 作用 域 结 束 时 发 送出 去 ， 因 此 时 限 同 这 个 事件 
相关 联 。 

对 于 非 周期 进程 来 说 ， 类 似 的 时 限 也 是 必要 的 ， 此 时 时 序 作用 域 是 由 通常 以 中 断 形 式 出 
现 的 外 部 事件 触发 的 。 

process aperiodic P; 

begin 

loop 


等 待 中 断 ，; 
时 序 作 用 域 的 开始 


时 序 作用 域 的 结束 

end; 
end; . 
显然 周期 性 进程 有 一 个 确定 的 周期 ( 即 进程 循环 执行 的 频率 ) ， 这 个 测量 可 能 同样 被 应 用 
在 非 周期 进程 上 ， 这 时 它 意味 着 该 进程 循环 的 最 大 速率 (中断 到 来 的 最 大 速率 )。 根 据 前 面 提 
到 的 ,这样 的 非 周期 进程 被 称 为 偶发 的 。 

在 某 些 实时 系统 里 , 时限 可 能 和 在 一 些 进程 间 传 递 的 数据 相关 (这 通常 被 称 为 实时 事务 )。 
为 了 调度 这 些 进程 ， 必 须 在 操纵 这 些 数据 的 进程 之 间 分 割 可 用 的 时 间 。 如 果 各 个 进程 处 理 数 
据 的 次 数 是 动态 的 〈 就 是 依赖 于 数据 的 ) 或 者 更 精 糕 ， 数 据 在 进程 间 传 递 的 路 径 也 是 依赖 于 
数据 的 ， 时 间 的 分 割 可 能 变 得 十 分 复杂 。 当 前 没有 实时 语言 明确 地 致力 于 这 个 问题 。 


127 ”时序 作用 域 的 语言 支持 


在 下 面 几 节 里 ，( 从 对 时 序 作用 域 支持 的 角度 ) 描述 了 一些 语言 。 所 选择 的 语言 代表 了 现 
在 可 用 的 各 种 工程 语言 : 

* Ada、occam2 和 C/POSIX 

。 实 时 Euclid 和 Pearl 

。 实 时 Java 
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* Esterel 


12.7.1 Ada, occam2%#1C/POSIX 

Ada, occam2 和 C/POSIX 同 许多 其 他 实时 语言 一 样 〈 显 著 的 例外 在 后 面 讨论 ) ， 都 不 支 
持 带 时 限 的 周期 或 非 周期 进程 的 显 式 规定 ， 而 是 必须 在 一 个 循环 进程 里 使 用 延迟 原 语 、 定 时 
器 等 《然而 ，POSIX 人 允许 设置 周期 性 定时 器 )。 

例如 ， 在 Ada 里 一 个 周期 性 任务 必须 采用 下 面 的 形式 : 


task body Periodic T is 
Next Release : Time; 


Release Interval : constant Duration := ...; -- 或 者 

Release Interval : constant Time Span :- Milliseconds(...); 
begin 

-~ 读 时 钟 并 计算 下 一 个 启动 时 间 (Next_Release) 

loop 


-~ 【例如 ) 数据 采样 ， 或 计算 和 发 送 一 个 控制 信号 
delay until Next_Release; 
Next Release := Next Release + Release Interval; 
end loop; 
end Periodic T; 


和 Ada 相 比 ， 更 加 元 长 的 C/POSIX 表 示 要 求 显 式 地 使 用 定时 器 和 信号 处 理 。 


#include <signal.h> 

#include <time.h> 

#include <pthread.h> 

void periodic thread() /* 肯定 是 该 线程 */ 
{ 


int signum; /* 捕获 的 信号 */ 

sigset_t set; /* 要 等 待 的 信号 */ 

struct sigevent sig; /* 信号 信息 */ 

timer_t periodic_timer; /* 周期 性 线程 的 定时 器 */ 
struct itimerspec required, old; /* 定时 器 详细 情况 */ 
struct timespec first, period: /* 开始 并 重复 */ 

long Thread Period = .... /* 按 纳 秒 的 实际 周期 */ 


/* 设 置信 号 接 日 */ 

sig.sigev notify = SIGEV SIGNAL; 

Sig.sigev signo = SIGRTMIN; /* 例如 */ 

/* 例如 ， 对 系统 初始 化 而 言 ， 允 许 从 现在 开始 的 1 种 钟 */ 

CLOCK_GETTIME (CLOCK_REALTIME, &first); /* 获得 当前 时 间 */ 
first.tv_sec = first.tv_sec + 1; 

period.tv sec = 0; /* period 设置 重复 时 间 */ 
period.tv_nsec = Thread Period; 

required.it value = first; /* 初始 化 定时 器 的 细节 */ 
required.it interval = period; 

TIMER CREATE(CLOCK REALTIME, &sig, &periodic timer); 


SIGEMPTYSET (&set); /* 初始 化 信号 set ， BA null */ 
SIGADDSET(&set, SIGRTMIN); /* 只 人 允许 定时 器 中 断 */ 


TIMER SETTIME(periodic timer, TIMER_ABSTIME, &reguired, &old); 
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/* enter periodic loop */ 
while(1) { 

SIGWAIT(&set, &signum); 

/* 这 里 是 每 个 周期 时 执行 的 代码 */ 


} 

} 

int init () 

{ 
pthread_attr_t attributes; /* 线程 属性 */ 
pthread t PT; /* 线程 指针 */ 


PTHREAD ATTR INIT(&attributes); /* 默认 属性 */ 
PTHREAD CREATE (&PT, &attributes, 
(void *) periodic thread, (void *)0); 


) 


由 中 断 触发 的 Ada 侦 发 任务 不 会 包含 显 式 的 时 间 信 息 ， 但 通常 会 用 一 个 保护 对 象 去 处 理 中 
断 并 启动 任务 的 执行 。 

protected Sporadic Controller is 

procedure Interrupt; -- 被 映射 到 中 断 

entry Wait For Next Interrupt; 
private 

Call Outstanding : Boolean :- False; 

end Sporadic Controller; 


protected body Sporadic Controller is 


procedure Interrupt is 
begin 

Call Outstanding :- True; 
end Interrupt; 


entry Wait For Next Interrupt when Call Outstanding is 
begin 
Call Outstanding :- False; 
end Wait For Next Interrupt; 
end Sporadic Controller; 
task body Sporadic T is 
begin 
loop 
Sporadic Controller.Wait For Next Interrupt; 
-- 动作 
end loop; 
end Sporadic T; 


上 面 的 例子 表明 在 Ada (以 及 其 他 许多 所 谓 的 实时 语言 ) 里 ， 惟一 能 保证 满足 的 时 间 约 束 
是 在 时 序 作用 域 开始 之 前 的 最 少时 间 。 它 是 通过 延迟 原 语 实现 的 。 
12.7.2 实时 Euclid 和 Pear 

支持 时 限 调度 的 语言 ， 都 有 一 些 用 于 表达 时 限 规格 说 明 的 合适 时 间 性 原 语 。 在 实时 Euclid 
(Kligerman and Stoyenko, 1986) HE BEE AR ASHE ALAN TRE, 每 个 进程 定义 必须 包含 适 
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合 自 己 实时 行为 的 激活 信息 (FA “HERR” (frame) 这 个 术语 代替 时 序 作 用 域 )。 这 个 信息 采用 
下 面 与 周期 和 偶发 进程 有 关 的 两 种 形式 中 的 一 种 : 

1) 周期 性 frameInfo 首 先 激活 timeOrEvent 

2) atEvent conditionld framelnfo 

framelInfo 了 于 句 定义 进程 的 周期 (包括 偶发 进程 的 最 大 速率 )。 它 最 简单 的 形式 是 一 个 按 实 
时 单位 的 表达 式 : 

frame realTimeExpn 
这 些 单 位 的 值 在 程序 的 开始 处 设置 。 

一 个 周期 进程 可 以 以 两 种 方式 被 首次 激活 。 它 可 以 有 一 个 为 它 定 义 的 开始 时 间或 者 等 待 
一 个 中 断 发 生 。 此 外 它 还 可 以 等 待 这 些 情 况 中 的 任 一 种 。 因 此 timeOrEvent 的 语法 必须 是 下 面 
的 一 种 : 

(1) atTime realTimeExpn 

(2) atEvent conditionld 

(3) atTime realTimeExpnsatEvent conditionId 
Condition14 是 一 个 和 中 断 相关 联 的 条 件 变 有 量 。 它 也 用 于 偶发 进程 。 

为 了 给 出 一 个 部 分 实时 Euclid 程 序 的 例子 ， 研 究 一 个 循环 温度 控制 器 。 它 的 周期 是 60 个 单 
位 〈 即 ， 如 果 时 间 单 位 设 为 一 秒 ， 就 是 每 分 钟 一 次 ) 并 且 它 将 在 600 个 单位 (10min) 后 或 当 
StartiMoritoring 中 断 到 达 时 变 成 医 动 的 : 

realTimeUnit := 1.0 s 肘 间 单位 = 1 sec 

var Reactor: module % Euclid 是 基于 模块 的 


var startMonitoring : activation condition atLocation 16#A10D 
$ 这 定义 一 个 条 件 变量 ， 它 被 映射 到 中 断 上 
process Tempcontroller : periodic frame 60 first activation 
atTime 600 or atEvent startMonitoring 
s 导入 列表 
$% 
s 执行 部 分 
% 


end TempController 


end Reactor 


注意 这 个 进程 里 没有 循环 。 是 调度 程序 控制 所 需 的 和 规定 的 周期 性 执行 。 
为 了 说 明 这 段 代 码 如 何 用 Ada 构 造 ， 给 出 这 个 进程 (任务 ) 的 片断 (这 里 需要 一 个 循环 ,. 
强制 任务 循环 ) 如 下 : 
task body Tempcontroller is 
-- 定义 ,包括 
Next Release : Duration; 
begin 
select 
accept Startmonitoring; -- 或 是 一 个 保护 对 象 上 的 限时 入 口 调用 
delay 600.0; 
end select; 


下 
N=) 
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Next Release := Clock + 60.0; -- 留意 下 一 个 启动 时 间 
loop 

-- 执行 部 分 

delay until Next_Release; 

Next_Release := Next_Release + 60.0; 
end loop; 


end Tempcontroller; 
不 但 代码 更 麻烦 ， 而 且 调度 程序 也 不 知道 这 个 任务 的 时 限 。 它 的 正确 执行 将 依赖 于 在 延 
迟到 期 后 任务 能 否 几乎 立即 变 成 活动 的 。 


Pearl 


Pearl 语 言 (Werum and Windauer, 1985) 同样 支持 关于 进程 开始 、 频 率 和 终止 的 显 式 的 
时 间 信 息 。 一 个 简单 的 周期 为 10s 的 任务 T 可 以 这 样 激活 : 

EVERY 10 SEC ACTIVATE T 
要 在 一 个 特定 的 时 间 点 (比如 每 天 的 中 午 十 二 点 ) Bas: 

AT 12:00:00 ACTIVATE LUNCH 
由 中 断 IRT 启 动 的 偶发 任务 S 可 以 定义 为 : 

WHEN IRT ACTIVATE S; 
或 者 需要 一 个 1s 的 初始 延迟 : 

WHEN IRT AFTER 1 SEC ACTIVATE S; 
RAE. Peralffiüt T At eM EuclidJL3E ERDE. Ai, d BET aS yh 
子 说 明了 一 个 显著 区 别 。 一 个 Pearl 任 务 可 以 被 时 间 调 度 或 者 中 断 激 活 但 不 能 两 者 同时 使 用 。 
所 以 下 面 的 每 一 种 方式 在 Pearl 都 是 可 接受 的 : 

AFTER 10 MIN ALL 60 SEC ACTIVATE TempController; 

WHEN startMonitoring ALL 60 SEC ACTIVATE TempController; 
All 60 SEC 表示 在 首次 执行 后 每 60s 周 期 性 地 重复 。 
12.7.3 实时 Java 

实时 Java 在 面向 对 象 的 框架 里 提供 与 实时 Euclid 和 Pear 类 似 的 支持 。 被 调度 的 对 象 必须 实 
现 Schedulable 接 口 ， 这 个 内 容 将 在 下 一 章 涉及 。 除 此 之 外 ， 对 象 必须 : 

。 通 过 类 MemoryParameters 规 定 存 储 器 的 需求 一 一 在 第 15 章 讨论 ; 

。 通 过 类 SchedulingParameters 规 定 调度 需求 一 一 在 第 13 章 讨论 ; 

。 通 过 类 ReleaseParameters 规 定时 间 性 需求 。 

最 后 一 个 是 通过 ReleaseParameters 类 的 层次 体系 实现 的 。 程 序 12-9 定 义 的 抽象 基 类 
给 出 了 所 有 可 调度 对 象 所 需 的 一 般 参 数 。 可 调度 对 象 可 以 有 一 个 和 每 次 启动 执行 相关 联 的 时 
限 和 时 间 开 销 。 这 个 时 间 开 销 是 调度 程序 应 该 给 这 个 对 象 的 执行 时 间 长 度 。 如 果 在 它 的 时 限 


` 或 者 时 间 开销 到 期 后 对 象 还 在 运行 ， 相 应 的 事件 处 理 程序 就 被 调度 执行 。 应 当 注 意 实 时 Java 


并 不 要 求实 现 支持 对 执行 时 间 的 监视 。 但 它 确实 要 求实 现 检测 错过 的 时 限 。 也 许 还 应 当 注意 ， 
非 周期 和 偶发 线程 的 启动 事件 当前 没有 明确 定义 。 因 此 ， 很 难 知道 实现 如 何 检测 时 限 超期 。 
当然 ， 程 序 可 以 传递 一 个 空 的 处 理 程序 表明 它 不 考虑 错过 的 时 限 。 
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程序 12-9 2&ReleaseParameters 


t 





public abstract class ReleaseParameters 
1 
protected ReleaseParameters (RelativeTime cost, RelativeTime deadline, 
AsyncEventHandler overrunHandler, 
AsyncEventHandler missHandler); 
public RelativeTime getCost(); 
public AsyncEventHandler getCostOverrunHandler(); 


public RelativeTime getDeadline(); 
public AsyncEventHandler getDeadlineMissHandler(); 


public void setCost(RelativeTime cost); 
public void setCostOverrunHandler(AsyncEventHandler handler); 


public void setDeadline(RelativeTime deadlíne); 
public void setDeadlineMissHandler(AsyncEventHandler handler); 





程序 12-10 说 明 ReleaseParameters 类 的 子 类 支持 周期 、 非 周期 和 偶发 启动 参数 。 所 
有 的 相对 时 间 值 都 相对 于 相应 线程 开始 (启动 ) 的 那个 时 间 点 。 

利用 上 面 的 参数 类 可 以 表示 下 面 可 调度 对 象 的 时 间 特 性 : 

* RealtimeThread 

。NoHeapRealtimeThread 一 一 在 13.14.3 小 节 讨 论 

* AsyncEventHandler 


程序 12-10 3EPeriodicParameters, AperiodicParameterssüSporadicParameters 





public class PeriodicParameters extends ReleaseParameters 
1 ， 
public PeriodicParameters (HighResolutionTime start, 
RelativeTime period, RelativeTime cost, 
RelativeTime deadline, AsyncEventHandler overrunHandler, 
AsyncEventHandler missHandler); 


public RelativeTime getPeriod(); 

public HighResolutionTime getStart(); 

public void setPeriod(RelativeTime period); 
public void setStart(HighResolutionTime start); 


) 


public class AperiodicParameters extends ReleaseParameters 
{ 
public AperiodicParameters (RelativeTime cost, 
RelativeTime deadline, AsyncEventHandler overrunHandler, 
AsyncEventHandler missHandler); 


} 


public class SporadicParameters extends AperiodicParameters 


{ 


public SporadicParameters(RelativeTime miniInterarrival, 


RelativeTime cost, RelativeTime deadline, 
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public 
public 
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AsyncEventHandier overrunHandler, 
AsyacEventHandler missHandler); 


RelativeTime getMinimumInterarrival(); 
void setMinimumInterarrival(RelativeTime minimum); 





实时 线程 


实时 Java 线 程 是 基本 语言 线程 的 一 个 扩展 。 程 序 12-11 定 义 了 这 个 类 (Processing- 
GroupParameterSs 在 13.8.2 小 节 讨 论 )。 在 创建 一 个 实时 线程 时 可 以 没有 启动 参数 。 事 实 上 ， 
它们 没有 特别 的 时 间 需 求 。 


程序 12-11 类 RealtimeThread 的 摘要 





public class RealtimeThread extends java.lang.Thread 


implements Schedulable: 


public 
public 
public 


RealtimeThread(SchedulingParameters s); 
RealtimeThread(SchedulingParameters s,ReleaseParameters r); 
RealtimeThread(SchedulingParameters s,ReleaseParameters rp, 
MemoryParameters m, ProcessingGroupParameters p, 


java.lang.Runnable r); 


// Schedulable 接口 的 方法 


public 
public 
public 
public 
public 
public 
public 
public 
public 


public 
public 


public 


synchronized void addToFeasibility(); 
MemoryParameters getMemoryParameters(); 
ReleaseParameters getReleaseParameters(); 
Scheduler getScheduler(); 

SchedulingParameters getSchedulingParameters(); 
synchronized void removeFromFeasibility(); 

void setMemoryParameters(MemoryParameters p); 
void setReleaseParameters(ReleaseParameters p); 
void setScheduler(Scheduler s) 

throws IllegalThreadStateException; 


void setSchedulingParameters(SchedulingParameters s); 
Static RealtimeThread currentRealtimeThread(); 


synchronized void schedulePeriodic(); 


// 将 周期 线程 加 到 可 调度 对 象 列 表 中 


public 


synchronized void deschedulePeriodic(); 


// 从 可 调度 对 象 列 表 中 移 走 周期 线程 
// 这 只 在 线程 发 出 了 waitForNextPeriod () 时 起 作用 


public 


public 
public 
public 


public 
// 覆盖 
public 


boolean waitForNextPeriod() throws IllegalThreadStateException; 


MemoryArea getMemoryArea(); 
ProcessingGroupParameters getProcessingGroupParameters(); 
void setProcessingGroupParameters (ProcessingGroupParameters p); 


synchronized void interrupt(); 
‘java.lang.Thread.interrupt() 

static void sleep(Clock c, HighResolutionTime tite) 
throws InterruptedException; 
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public static void sleep(HighResolutionTime time) 
throws InterruptedException; 


) 





周期 线程 是 那些 用 PeriodicParameters 创 建 的 实时 线程 。 调 用 Start 方 法 来 首次 启 
动 这 种 线程 。 一 旦 线程 已 执行 ， 它 调用 waitForNextPeriod 告 诉 调度 程序 它 应 该 在 下 一 个 
周期 到 达 的 时 候 再 次 被 置 为 可 运行 的 。 下 面 的 程序 片断 说 明了 一 个 有 5ms 时 限 的 周期 为 10ms 
的 周期 线程 的 结构 ， 它 的 首次 执行 一 直 延 迟到 绝对 时 间 A。 这 个 线程 应 当 消 耗 不 超过 1ms 的 处 
理 器 时 间 。 

public class Periodic extends RealtimeThread 

public Periodic( PriorityParameters PP, PeriodicParameters P) 


een 


public void run() 
1 
while(true) ( 
// 每 个 周期 要 运行 的 代码 


waitForNextPeriod(); 
} 
} 


AbsoluteTime A = new AbsoluteTime(...); 
PeriodicParameters P = new PeriodicParameters ( 
A, new RelativeTime(10,0), 


new RelativeTime (1, 0), new RelativeTime (5,0), 
null, null); 
PriorityParameters PP = new PriorityParameters(...); 


Periodic ourThread = new Periodic (PP, P); // 创建 线程 
ourThread.start (); // AME 
) 
非 周期 和 偶发 线程 可 以 以 相似 的 方式 创建 。 但 这 些 线程 应 该 是 等 待 一 个 启动 事件 而 不 是 调 
用 waitForNextPeriod。 已 经 提 到 过 ， 非 周期 和 偶发 线程 的 启动 事件 现在 还 没有 明确 定义 。 
在 105 节 讨论 了 异步 通知 介绍 了 事件 处 理 的 终止 模型 和 恢复 模型 。 指 出 了 一 个 用 于 多 线程 进 
程 中 的 异步 通知 处 理 的 恢复 模型 等 价 于 执行 一 个 响应 这 个 通知 的 非 周 期 /偶发 线程 。 这 是 实时 Java 
采用 的 模型 。 然 而 ， 不 是 把 处 理 程序 看 成 一 个 显 式 的 线程 ， 而 是 看 成 一 个 支持 Schedulable 接 口 
的 对 象 。 事 实 上 ， 可 能 不 止 一 个 处 理 程序 绑 定 到 一 个 线程 上 ， 而 且 这 种 绑 定 是 在 事件 发 生 时 动 
态 进 行 的 。 类 BoundRAsyncEventHandler 能 用 来 永久 地 将 事件 处 理 程序 绑 定 到 一 个 线程 上 
(因此 可 以 更 快 地 响应 这 个 事件 )。 假设 一 个 异步 事件 的 处 理 程序 是 一 个 可 调度 类 ， 那 么 必须 给 
它 恰当 的 启动 参数 。 由 于 事件 处 理 程序 有 一 个 显 式 的 启动 ， 可 以 很 容易 地 检测 到 它 的 时 限 超 期 。 
12.7.4 DPS 


尽管 Pearl、 实 时 Euclid 和 Java 将 时 序 作用 域 与 进程 (线程 ) 相关 联 ， 并 且 因此 使 得 进程 必 
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须 规定 自己 的 时 间 约 束 ， 其 他 的 语言 一 比如 DPS (Lee and Gehlot, 1985) 一 一 提供 应 用 在 
代码 块 一 级 的 局 部 时 间 性 设施 。 l 
一 般 来 说 ， 一 个 DPS 时 序 块 〈 作 用 域 ) 需要 规定 三 个 不 同 的 时 间 需 求 (和 前 面 讨论 过 的 
更 多 全 局 需求 相似 ): 
“延迟 开始 于 一 个 已 知 的 时 间 段 
“在 已 知 的 时 限 前 完成 执行 
* 在 一 段 不 超过 设 定 值 的 时 间 里 进行 运算 
为 了 说 明 这 些 结构 ， 设 想 冲 制 和 饮用 速溶 咖啡 的 重要 实时 行为 : 
get_cup 
put_coffee_in_cup 
boil water 
put water in cup 
drink coffee 
replace cup 
pbi — PONE Sz LAS IUE E lOmin, ， 喝 咖啡 要 复杂 得 多 。3min 的 延迟 应 该 能 保证 嘴巴 不 会 被 溪 
伤 ， 啤 啡 应 该 在 25min 内 喝 完 (之 后 就 凉 了 ) 或 者 在 17: 00 (下 午 5 点 下 班 回 家 ) 之 前 喝 完 。 
这 样 需要 两 个 时 序 作用 域 : 
start elapse 10 do 
get_cup 
put coffee in cup 
boil water 
put water in cup 
end 
Start after 3 elapse 25 by 17:00 do 
drink coffee 
replace cup 
end 


由 于 时 序 作用 域 是 重复 执行 的 ， 所 以 一 个 时 间 循 环 结构 是 很 有 用 的 ， 即 : 
from <start> to <end> every <period> 


例如 ， 很 多 软件 工程 师 要 求 工作 日 里 定时 供应 咖啡 : 


from 9:00 to 16:15 every 45 do 
make_and_drink_coffee 


这 里 make_and_drink_coffee 可 以 由 上 面 给 出 的 两 个 时 序 作用 域 组 成 ( SRA NEBR 
块 里 的 “by” 约 东 )。 注 意 ， 如 果 这 样 做 的 话 ， 这 个 循环 每 次 迭代 的 最 长 持续 时 间 会 是 35min， 
比 循环 的 周期 要 短 ， 因 此 在 喝 两 杯 咖啡 之 间 要 有 间 险 。 

尽管 可 以 用 这 种 方法 声明 块 级 的 时 间 约 束 ， 但 它们 导致 进程 在 执行 过 程 中 会 经 历 不 同 的 时 
限 ， 有 时 甚至 会 没有 时 限 。 将 这 些 进程 分 解 成 子 进 程 ， 每 个 子 进程 都 是 单独 的 块 ， 这 样 可 以 
将 所 有 时 限 表 示 成 进程 级 别 的 约束 ， 从 而 运行 时 调度 程序 更 易于 实现 。 例 如 ， 在 下 一 章 里 要 
讨论 的 一 些 算法 中 ， 一 个 静态 的 优先 级 方案 已 经 足够 了 ， 调 度 程序 不 需要 显 式 地 意识 到 时 限 。 
12.7.5 Esterel 


Esterel (Boussinot and de Simone, 1991) 是 同步 语言 的 一 个 例子 ， 其 他 的 同步 语言 还 包 
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括 Signal (le Guernic, 1991) 和 Lustre (Halbwachs 等 ，1991 )。 这 些 语言 试图 通过 对 程序 
的 时 序 行为 做 某 些 假设 来 支持 验证 。 支 撑 这 种 计算 模型 的 基本 假设 是 理想 (或 完美 ) 的 同步 
假设 (Berry, 1989): 

理想 的 系统 中 输出 的 产生 是 与 它们 的 输入 同步 的 。 


因此 假定 所 有 的 计算 和 通信 都 不 花 时 间 (也 就 是 说 所 有 的 时 序 作 用 域 瞬时 地 执行 )。 很 明 
显 这 是 一 个 很 强 的 而 且 不 现实 的 假定 ， 但 它 可 以 使 事件 的 时 序 次 序 更 容易 确定 。 在 实现 的 过 
程 中 ， 理 想 的 同步 假设 被 解释 成 “系统 必须 执行 得 足够 快 ， 以 保证 这 个 同步 假设 成 立 "。 在 现 
实 中 ， 它 意味 着 : 在 任何 输入 之 后 ， 与 之 对 应 的 输出 必须 在 新 的 输入 发 生 之 前 出 现 。 这 时 我 
们 说 这 个 系统 “ 紧 跟 ” 它 的 环境 。Esterel 程 序 是 事件 驱动 的 并 且 使 用 信号 通信 (广播 )。tick 
信号 假定 是 定时 的 (尽管 没有 定义 它 的 粒度 }。 这 样 ， 定 义 了 下 面 的 重复 (每 10 个 滴答 ) HA 
期 性 模块 : 


module periodic; 
input tick; 
output result(integer); 
var V : integer in 
loop 
await 10 tick; 
-~ 进行 为 设置 V 的 所 需 计 算 
emit result(v); 
end 
end 


偶发 模块 有 同样 的 形式 。 

同步 假设 的 一 个 推论 是 所 有 的 动作 都 是 原子 的 。 由 于 动作 是 瞬时 完成 的 ， 并 发 动作 间 的 
交互 就 不 可 能 进行 了 。 在 上 面 的 例子 里 ， 结 果 在 等 候 的 滴答 那个 瞬时 立即 发 送出 去 (因此 这 
个 模块 不 会 有 局 部 漂移 和 累积 漂移 )。 等 待 结果 的 偶发 模块 会 在 这 个 周期 模块 的 “同一 时 间 ” 
执行 。 这 种 行为 有 效 地 减少 了 不 确定 性 。 但 是 它 也 导致 了 潜在 的 因果 问题 。 考 虑 ; 


signal S in 
present S else emit S end 
end 


这 个 程序 是 前 后 不 一 臻 的。 如果 s 未 出 现 就 发 送 它 ， 相反 如 果 它 出 现 就 不 发 送 。 
Esterel 行 为 语义 的 形式 化 定义 有 助 于 消除 这 些 问题 (Boussinot and de Simone, 1991). 
可 以 检查 程序 的 前 后 一 致 性 。 实 现 合法 的 Esterel 程 序 是 很 简单 的 ， 用 同步 假设 总 是 能 够 构造 
一 个 有 限 状 态 机 。 因 此 一 个 程序 从 一 个 初始 状态 ( 读 可 能 有 的 输入 ) 移动 到 一 个 结束 状态 447] 
(产生 可 能 有 的 输出 )。 当 它 在 这 些 状 态 间 移 动 时 ， 不 会 和 环境 发 生 交互 。 正 如 前 面 指出 的 ， 
只 要 有 限 状 态 机 (自动 机 ) 以 足够 的 速度 运行 ， 原 子 性 的 假设 就 可 以 认为 是 成 立 的 。 


12.8 容错 
本 书 从 头 至 尾 都 假设 实时 系统 有 高 可 靠 性 的 需求 。 实 现 这 种 可 靠 性 的 一 种 方法 是 将 容错 


加 入 到 软件 当中 去 。 时 间 约束 的 加 入 也 引入 了 这 些 约 东 被 破坏 的 可 能 性 ， 比 如 超时 到 期 或 者 
没有 满足 时 限 。 
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对 于 软 实时 系统 ， 进 程 可 能 需要 知道 是 否 错过 了 一 个 时 限 ， 尽 管 在 正常 运行 下 可 以 容忍 
这 一 点 。 更 重要 的 是 ， 在 有 些 硬 实时 系统 (或 子 系统 ) 里 ， 时 限 是 很 关键 的 ， 一 个 错过 的 时 
限 需要 触发 某 个 出 错 恢复 例 行 程序 。 如 果 系 统 显示 出 在 最 坏 情 况 的 执行 时 间 下 是 可 调度 的 ， 
那么 可 以 证 明 时 限 不 会 错过 。 但 是 ,在 前 面 章节 里 对 可 靠 性 的 讨论 明确 指出 需要 一 种 多 方面 
的 可 靠 性 方法 ， 也 就 是 要 证 明 所 有 的 事情 都 不 会 出 错 ， 并 包括 能 够 合适 地 处 理 出 错时 出 现 问 
题 的 例 程 。 在 这 种 特定 的 情况 下 ， 在 一 个 “被 证 明了 的 ”系统 里 可 能 会 错过 一 个 时 限 ， 如 果 : 

。 最 坏 情 况 执行 时 间 (WCET) 的 计算 是 不 准确 的 

。 可 调度 性 检查 中 的 假设 是 无 效 的 

。 可 调度 性 检查 本 身 有 错误 

。 调 度 算法 无 法 处 理 ， 尽 管 在 理论 上 是 可 调度 的 负载 情况 

。 系统 运行 超出 了 它 的 设计 参数 。 
在 最 后 一 种 情况 (比如 ， 一 个 以 无 法 接受 的 中 断 速率 表现 出 来 的 信息 溢出 )， 系 统 设计 人 员 仍 
然 会 希望 有 软 失 效 或 故障 保护 行为 。 

总 的 来 说 ， 要 对 时 间 失 效 容错 ， 系 统 必 须 能 检测 : 

。 时 限 的 超出 

“ 最 坏 情况 执行 时 间 (WCET) 的 超出 

“超出 预期 频 度 发 生 的 偶发 事件 

。 通 信 的 超时 

当然 ， 这 个 列表 里 最 后 三 个 “失效 ”不 是 一 定 表示 会 错过 时 限 ， 例 如 ， 在 一 个 进程 中 超 
出 WCET 可 以 通过 一 个 偶发 事件 以 小 于 其 最 大 容许 频率 的 速度 发 生 的 方法 补偿 。 因 此 提供 容 
错 的 损害 隔离 和 评估 阶段 必须 决定 采取 什么 动作 。 向 前 和 向 后 的 恢复 都 是 可 行 的 。 下 面 的 小 
节 将 讨论 这 里 的 前 三 个 时 间 性 故障 ， 通 信 超 时 已 经 在 12.4 节 讨论 过 了 。 
12.8.1 时 间 性 错误 检测 和 向 前 出 错 恢复 

如 果 要 处 理 时 间 性 错误 ,首先 要 检测 到 它们 。 如 果 运 行 时 环境 或 操作 系统 知道 一 个 进程 
的 突出 特征 (比如 采用 实时 Java 的 方法 )， 那 么 它 将 能 检测 到 问题 并 使 应 用 注意 到 这 些 问 题 。 
否则 ， 就 必须 提供 使 应 用 能 检测 自己 的 时 间 性 错误 的 原 语 设施 . 

1. 时 限 超出 的 检测 

这 一 章 已 经 与 时 序 作用 序 域 一 起 说 明了 语言 和 操作 系统 为 周期 与 偶发 进程 的 规定 提供 的 设施 。 

Ada 的 运行 时 支持 系统 并 不 知道 其 应 用 任务 的 时 间 性 需求 ， 因 此 不 得 不 提供 原 语 机 制 来 检 
测 时 限 的 超出 。 这 是 使 用 10.8 节 讨论 的 异步 控制 转移 设施 来 实现 的 。 因 此 ， 为 了 检测 一 个 
12.7.1 节 提 到 的 周期 任务 的 时 限 的 超时 ， 需 要 主 循环 幅 入 一 个 select then abort 语 句 。 


task body Periodic T is 
Next_Release : Time; 
Next Deadline : Time; 


Release Interval : constant Duration := e; -~ 或 
Release Interval : constant Time Span :- Milliseconds(...); 
Deadline : constant Time Span :- Milliseconds(...); 

begin 


-- 读 时 钟 并 计算 下 一 个 启动 时 间 (Next_Release) 
-- Al F—^ HB (Next Deadline) U 
loop 
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select 
delay until Next Deadline; 
-- 在 这 里 检测 时 限 超出 
-- 进行 恢复 
then abort 
-- (例如 ) 数 据 采集 或 计算 和 发 送 一 个 控制 信号 
end select; 
delay until Next_Release; 
Next Release := Next Release + Release Interval; 
Next Deadline :- Next Release + Deadline; 
end loop; 
end Periodic T; 


可 以 用 相似 的 方法 检测 偶发 任务 中 的 时 限 的 超出 。 
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这 种 方法 的 一 个 问题 是 它 假定 恢复 策略 要 求 任务 停 下 正在 进行 的 工作 。 这 当然 是 一 种 选 
E. 但 是 还 有 其 他 方法 例如， 允许 任务 以 一 个 不 同 的 优先 级 继续 执行 。 为 了 做 到 这 一 点 ， 
对 于 检测 时 限 超出 更 加 合适 的 响应 是 引起 一 个 异步 的 事件 。 在 实时 Java 里 ， 当 一 个 周期 线程 
在 它 的 时 限 到 期 后 还 在 执行 的 时 候 ， 虚 拟 机 会 用 信号 发 出 一 个 异步 事件 。 实 时 Java 中 的 偶发 


事件 处 理 程序 没有 显 式 的 时 限 超出 检测 ， 它 们 被 假定 为 软 实时 的 。 


C/POSIX 人 允许 创建 和 设置 定时 器 , 当 它 们 到 期 时 会 产生 用 户 定义 的 信号 (默认 的 是 SIGALRM)。 


因此 ， 可 以 使 进程 决定 应 该 采取 什么 样 的 正确 动作 。 程 序 12-12 显 示 了 一 个 典型 的 C 接 口 。 
程序 12-12 C 到 POSIX 定 时 器 的 接口 


一 一 一 -一 vv 


#define TIMER_ABSTIME .. 


struct itimerspec { 
struct timespec it value; /* 第 一 个 定时 器 信号 */ 
struct timespec it interval; /* 后 续 间 隔 */ 

E 

typedef ... timer t; 


int timer create(clockid t clock id, struct sigevent *evp, 
timer t *timerid); 
/* 使 用 规定 的 时 钟 为 每 个 进程 创建 一 个 定时 器 ， 作 为 时 间 性 基础 。*/ 
/* evp 指向 一 个 结构 ， 它 包含 生成 信号 所 需 的 所 有 信息 */ 


int timer delete (timer t timerid); 


/* 删除 一 个 进程 定时 器 */ 


int timer settime(timer t timerid, int flags, 

const struct itimerspec *value, 
struct itimerspec *ovalue); 

/* 为 指定 的 定时 器 设置 下 一 个 到 期 时 间 */ 

/* 如 果 f1lags 被 设置 为 TIMER_ABSTIME， 则 */ 

/* 当时 钟 到 达 *value. it_value 规定 的 绝对 值 时 ， 定 时 器 将 到 期 */ 

/* 如 果 flags 未 设置 为 TIMER_ABSTIME， 则 */ 

/* 当 由 value->it_value 规 定 的 间隔 过 去 时 ， 定 时 器 将 到 期 */ 

/* 如 果 *value.it interval RAO, */ 

/* 则 一 个 周期 性 定时 器 将 在 value->it_value 到 期 后 */ 

/* 抛弃 每 一 个 value~>it_interval */ 


/* 任何 以 前 的 定时 器 设置 被 返回 到 *ovalue 中 */ 
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int timer gettime(timer t timerid, struct itimerspec *value); 
/* 得 到 当前 定时 器 的 详细 信息 */ 

int timer_getoverrun(timer_t timerid); 
/* 如 果 支 持 实时 信号 ， 返 回 由 此 定时 器 生成 而 未 处 理 的 信号 个 数 */ 


/* PR 上 timer_getoverrun 外 ， 所 有 上 述 函 数 如 果 成 功 ， 返 回 0， 否 则 ， 返 回 -1。，*/ 
/* timer getoverrun 返回 超 限 的 个 数 */ 
/* 当 上 述 函 数 中 的 任何 一 个 返回 出 错 状态 时 ， 共 享 变 量 errno 中 包含 有 出 错 原因 */ 


在 5.5.1 节 介绍 了 用 于 错误 检测 的 定时 器 。 它 很 容易 用 POSIX 的 信号 编写 。 例 如 ， 研 究 这 
么 一 种 情况 ， 一 个 线程 (monitor) 创建 了 另 一 个 线程 (server) 并 希望 监视 它 的 进展 看 
它 是 否 满足 了 时 限 。struct timespec deadline 给 出 server 的 时 限 。 monitor 线 程 为 
每 个 进程 创建 了 一 个 定时 器 ， 当 定时 器 到 期 的 时 候 ， 它 就 指定 执行 一 个 信号 处 理 程序 。 然后 ， 
monitor 创 建 servez 线 程 ， 并 传递 一 个 指针 给 定时 器 。servez 线 程 执行 自己 的 动作 ， 然 后 
删除 这 个 定时 器 。 如 果 发 出 了 警报 ，server 就 迟到 了 。 


#include <signal.h> 





#include <timer.h> 
#include <pthread.h> 


timer t timer; /*monitor 和 server 之 间 共 享 的 定时 器 */ 


struct timespec deadline = .. 


. 
“7 


struct timespec zero = ...; 
struct itimerspec alarm time, oid alarm; 
struct sigevent s; 


void server(timer t *watchdog) 
1 

/* 进行 所 需 服务 */ 

TIMER DELETE(*watchdog); 
} 


void watchdog_handler (int signum, siginfo_t *data, void *extra) 
{ B 
/* SIGALRM 处 理 程序 */ 


/* server 述 到 : 进行 恢复 */ 

} 

void monitor() 

{ 
pthread attr_t attributes; 
pthread t serve; 


Sigset t mask, omask; 
struct sigaction sa, osa; 
int local mode; 


SIGEMPTYSET(&mask); 
SIGADDSET(&mask, SIGALRM); 


Sa.sa flags = SA SIGINFO; 
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sa.sa_mask = mask; 
sa.sa sigaction = &watchdog handler; 


SIGACTION(SIGALRM. &sa, &osa); /* 分 配 处 理 程序 */ 


alarm time.it value - deadline; 
alarm time.it interval = zero; /* 单 冲 定时 器 */ 


S.sigev notify = SIGEV SIGNAL; 

S.Sigev signo = SIGALRM; 

TIMER GREATE(CLOCK REALTIME, &s, &timer); 

TIMER SETTIME (timer, TIMER ABSTIME, &alarm time, &old alarm); 


PTHREAD ATTR INIT (&attributes); 
PTHREAD CREATE (&serve, &attributes, (void *)server, &timer); 


) 


但 是 ， 如 在 10.6.6 节 中 提 到 的 ， 如 果 进 程 是 多 线程 的 ， 信 号 就 是 发 送 给 整个 进程 而 不 是 某 
个 单独 的 线程 。 因此， 一 般 来 说 确定 哪个 线程 超过 了 它 的 时 限 是 困难 的 。 
实时 Java 同 样 支持 定时 器 。 程 序 12-13 和 12-14 定 义 了 相关 的 类 。 


程序 12-13 ”实时 Java 的 类 Timer 
— ee 
public abstract class Timer extends AsyncEvent 


{ 
protected Timer(HighResolutionTimer time, Clock clock, 
AsyncEventHandler handler); 


public ReleaseParameters createReleaseParameters(); 


public AbsoluteTime getFireTime (); 

// 获取 激发 这 个 事件 的 时 间 

public void reschedule(HighResolutionTimer time); 
// 改变 这 个 事件 的 调度 时 间 

public Clock getClock(); 


public void disable(); 

// 禁用 这 个 定时 器 ， 防 止 它 激发 。 然 而 ， 一 个 被 禁用 的 定时 器 在 它 被 禁用 的 时 候 还 继续 计时 

public void enable(); 

// 重新 启用 一 个 被 禁用 了 的 定时 器 

// 如 果 该 定时 器 的 激发 时 间 已 过 ， 它 会 立即 激发 

public void start(); // 开始 定时 器 滴答 

} 

a 9 ——— 


程序 12-14 实时 Java 的 类 OneShotTimer 和 PeriodicTimer 


public class OneShotTimer extends Timer 
{ 


public OneShotTimer(HighResolutionTimer time, 


AsyncEventHandler handler); 
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// 创建 AsyncEvent 的 一 个 实例 ， 它 将 在 给 定 的 时 间 期 满 时 执行 它 的 激发 方法 


public OneShotTimer(HighResolutionTimer start, Clock clock, 
AsyncEventHandler handler); 
// 基于 给 定 的 时 钟 创建 AsyncEvent 的 一 个 实例 ， 
// 它 将 在 给 定 的 时 间 期 满 时 执行 它 的 激发 方法 
} 


public class PeriodicTimer extends Timer 


{ 
public PeriodicTimer(HighResolutionTimer start, RelativeTime interval, 


AsyncEventHandler handler); 


// 创 建 RsyncEvent 的 一 个 实例 ， 它 周期 性 地 执行 它 的 激发 方法 


public PeriodicTimer (HighResolutionTimer start, 

RelativeTime interval, 

Clock clock, AsyncEventHandler handler); 
// 创建 AsyncEvent 的 一 个 实例 ， 
// 它 将 基于 一 个 特定 时 钟 从 一 开始 就 周期 性 地 执行 它 的 激发 方法 


public ReleaseParameters createReleaseParameters(); 


public void setInterval(RelativeTime interval); 
// 重新 设置 该 定时 器 的 间隔 


public RelativeTime getInterval(); 


public void fire(); 
// 覆盖 类 AsyncEvent 中 的 Eire 方 法 


public AbsoluteTime getFireTime(); 


} 





通过 DPS 的 局 部 时 间 结 构 ， 将 时 间 性 错误 和 异常 关联 起 来 是 很 合适 的 。 
start < 时 间 约 束 > do 
-- 语句 
exception 
-- 处 理 程序 
end 
除了 损害 隔离 、 出 错 恢复 等 所 需 的 必要 计算 外 ， 处 理 程序 还 希望 延长 时 限 的 长 度 和 继续 执行 
原来 的 程序 块 。 因 此 恢复 模型 比 终 止 模 型 更 合适 (OR). 
在 依赖 于 时 间 的 系统 里 ， 也 可 能 必须 给 出 处 理 程序 的 时 限 约束 。 通 常 处 理 程序 的 执行 时 
间 是 占用 时 序 作用 域 本 身 的 ， 比 如 在 下 面 ， 语 名 序列 将 会 在 19 个 时 间 单 位 后 提前 结束 。 
start elapse 22 do 
-- 语句 
exception 
when elapse_error within 3 do 
-- 处 理 程序 
end 
对 于 所 有 的 异常 模型 ， 如 果 处 理 程序 本 身 引 发 一 个 异常 ， 这 种 情况 只 能 在 这 个 程序 层次 
中 的 更 高 级 别 上 处 理 。 如 果 在 进程 级 的 处 理 程序 中 发 生 了 时 间 性 错误 ， 那 么 这 个 进程 必须 终 
止 〈 或 者 至 少 终止 该 进程 的 当前 循环 )。 因 此 应 该 由 一 些 系 统 级 的 处 理 程序 来 处 理 失败 的 进程， 
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或 者 让 应 用 软件 去 识别 和 应 付 这 些 事件 。 

如 果 将 异常 处 理 程序 加 入 到 前 面 给 出 的 冲 制 嘻 啡 的 例子 里 ， 程 序 代 码 就 会 有 下 面 的 形式 
(没有 财 啡 杯 ” 之 类 的 逻辑 错误 异常 没有 包括 进去 )。 程 序 假 定 只 有 boi1_water 和 drink_ 
coffee 有 显著 的 时 序 性 质 ， 因 此 时 间 性 错误 是 由 于 这 些 行为 的 时 间 超 出 造成 的 。 

from 9:00 to 16:15 every 45 do 

start elapse 11 do 453 
get cup ] l 
boil water 
put coffee in cup 
put water in cup 

exception 
when elapse error within 1 do 

turn off kettle -- 为 安全 起 见 
report fault 
get new cup 
put orange in cup 
put water in cup 
end 
end 


start after 3 elapse 26 do 
drink 

exception 
when elapse error within 1 do 

empty cup 

, end 

end 

replace cup 

exception 


when any exception do 
null -~ 继续 下 一 次 迭代 
end 
end 


2. 最 坏 情况 执行 时 间 的 超出 

好 的 软件 工程 实践 尽力 将 错误 的 后 果 限 定 在 程序 明确 定义 的 区 域 里 。 模块 、 包 和 原子 动 
作 等 设施 有 助 于 实现 这 个 目标 。 然 而 ， 如 果 一 个 进程 消耗 了 超过 预期 的 CPU 资源 ， 那 么 它 可 
能 不 是 错过 了 时 限 的 那个 进程 。 例 如 ， 它 可 能 是 一 个 有 相当 长 空闲 时 间 的 优先 级 高 的 进程 ， 
而 会 错过 时 限 的 进程 可 能 是 有 较 少 空闲 时 间 的 优先 级 低 的 进程 。 理想 的 情况 下 ， 应 该 可 能 就 
在 导致 时 间 性 错误 的 进程 里 捕获 这 种 错误 。 这 意味 着 必须 在 一 个 进程 超出 了 程序 员 所 允许 的 
最 坏 情况 执行 时 间 时 能 够 检测 到 它 。 当 然 ， 如 果 一 个 进程 是 非 抢占 式 调 度 的 (不 会 因为 等 待 
资源 而 被 阻塞 )， 它 的 CPU 执行 时 间 就 等 于 这 个 进程 存在 的 时 间 , 并 且 可 以 使 用 那些 用 于 检 
测 时 限 超 出 的 机 制 。 然 而 进程 常常 是 抢占 式 调度 的 ， 因此 导致 测量 占用 的 CPU 时 间 变 得 更 加 
困难 。 

POSIX 通 过 它 的 时 钟 和 定时 器 来 支持 执行 时 间 监 视 。 它 定 义 了 两 个 时 钟 : CLOCK PROCESS _ 
CPUTIME ID 和 CLOCK THREAD CPUTIME ID. 这 些 时 钟 能 以 和 CLOCK_REALTIME 相 同 的 方式 
使 用 。 每 个 进程 /线程 都 有 一 个 与 之 关联 的 执行 时 间 时 钟 ， 调用 : 
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clock settime(CLOCK PROCESS CPUTIME ID, &some timespec value); 
clock gettime(CLOCK PROCESS CPUTIME ID, &some timespec value); 


clock getres(CLOCK PROCESS CPUTIME ID, &some timespec value); 


将 设置 /取得 执行 时 间或 者 取得 与 调用 进程 关联 的 执行 时 间 时 钟 的 分 辨 率 (对 线程 也 是 类 似 
的 )。 

有 两 个 函数 使 一 个 进程 /线程 能 够 得 到 另 一 个 进程 /线程 的 时 钟 并 进而 访问 这 个 时 钟 。 

int clock_getcpuclockid(pid_t pid, clockid_t *clock_id); 


int pthread_getcpuclockid(pthread_t thread_id, clockid_t *clock_id); 


程序 12-12 定 义 的 定时 器 可 以 用 来 创建 定时 器 ， 并 进而 可 以 用 这 些 定时 器 在 设 定 的 执行 时 
间 期 满 时 产生 进程 信号 。 如 果 和 timer_create 连 同 使 用 的 clock_id 与 调用 进程 或 线程 的 
clock_id 不 同 ， 那 么 程序 的 行为 是 由 实现 定义 的 。 由 于 定时 器 期 满 时 产生 的 信号 是 指向 进 
程 的 ， 在 一 个 线程 的 执行 时 间 定 时 器 期 满 时 哪个 线程 会 收 到 这 个 信号 是 依赖 于 应 用 的 。 应 用 
可 以 不 允许 线程 使 用 定时 器 (由 于 支持 这 种 设施 的 开销 )。 

至 于 所 有 的 执行 时 间 监 视 ， 在 上 下 文 切换 和 中 断 存在 的 情况 下 很 难保 证 执行 时 间 时 钟 的 
准确 性 。 

实时 Java 人 允许 把 “时 间 开 销 ” 值 关联 到 一 个 可 调度 对 象 的 执行 上 。 如 果实 现 支持 的 话 ， 
当 超过 这 个 “时 间 开 销 ” 值 时 这 人 允许 激发 一 个 异步 事件 。 

3. 偶 发 事件 的 超出 

比 预 期 激发 得 更 频繁 的 偶发 事件 会 给 一 个 试图 满足 硬 时 限 的 系统 带 来 不 正常 的 后 果 。 因 
此 有 必要 保证 : 或 者 这 是 禁止 的 ， 或 者 当 它 发 生 时 检测 它 并 采取 矫正 动作 。 

本 质 上 有 两 个 禁止 偶发 事件 超出 的 方法 。 第 一 个 方法 是 用 在 这 种 事件 由 一 个 硬件 中 断 触 
发 的 地 方 。 在 大 多 数 的 情况 下 ,能够 通过 操纵 相关 联 的 设备 控制 寄存 器 抑制 这 种 中 断 的 发 生 。 

另 一 个 方法 是 利用 偶发 服务 器 技术 ， 参 见 13.8.2 节 。 如 果 没 有 使 用 偶发 服务 器 并 且 中 汤 不 
能 禁止 ， 那 么 需要 检测 什么 时 候 偶 发 事件 发 生得 过 于 频繁 。 可 惜 ， 大 多 数 的 实时 语言 和 操作 
系统 缺乏 对 这 种 检测 的 支持 。 
12.8.2 时 间 性 错误 检测 和 向 后 出 错 恢复 


作为 向 前 出 错 恢复 的 替代 方法 ， 时 间 性 错误 能 够 使 用 向 后 出 错 恢复 。 所 有 的 向 后 出 错 恢 
复 技术 都 包含 接受 测试 。 因 此 在 这 些 测试 中 可 能 包含 时 序 性 需求 。 如 果 时 限 被 超出 了 ， 运 行 
时 系统 能 够 异步 地 放弃 接受 测试 。 使 用 一 个 合并 到 对 话 和 会 谈 (Gregory and Knight, 1985) 
内 的 超时 设施 (在 第 10 章 讨论 过 的 ) 说 明了 这 一 点 。 对 话 序列 现在 变 成 了 : 

SELECT 

dialog 1 

OR 

dialog 2 
OR 

dialog 3 
TIMEOUT value 

-~ 语句 序列 
ELSE 
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-- 语 句 序列 

END SELECT; t 

和 前 面 一 样 ， 进 程 在 执行 时 首先 尝试 dialog_1。 如 果 成 功 ， 控 制 转 到 跟 在 选择 语句 后 
面 的 语句 。 如 果 这 个 对 话 失 败 ， 就 尝试 dialog_2 等 等 。 但 是 为 了 使 会 谈 概 念 能 够 处 理 错 过 
的 时 限 ， 可 以 把 超时 间 这 个 选择 关联 起 来 。 时 间 性 约束 规定 了 一 个 时 间 间 隔 ， 在 此 期 间 这 个 
进程 可 以 执行 尽 可 能 多 的 对 话 尝 试 。 对 话 中 的 不 同 进程 可 能 有 不 同 的 超时 值 。 如 果 一 个 超时 
期 满 了 ， 那 么 当前 执行 的 对 话 就 失败 了 ， 这 个 进程 的 状态 恢复 到 执行 选择 语句 时 的 状态 ， 并 
且 执 行 在 TIMEOUT 子 旬 后 的 语句 。 这 时 ， 这 个 对 话 涉 及 的 其 他 进程 也 就 失败 了 ， 但 它们 的 行 
为 由 它们 的 选择 语句 中 设 定 的 选项 决定 。 它 们 可 以 尝试 另 一 个 对 话 、 超 时 或 一 起 失败 。 至 于 
否则 (else) 子 句 ， 可 以 将 TIMEOUT 后 的 语句 看 作 是 实现 这 个 进程 目标 的 最 后 的 尝试 。 如 果 
它 失 败 了 那么 其 外 包 的 会 谈 也 就 失败 了 。 

现在 就 能 够 编写 一 个 使 用 对 话 序列 的 简单 时 限 机 制 ， 这 个 对 话 序 列 由 一 个 对 话 尝试 和 一 
个 超时 组 成 。 例 如 ， 设 想 一 个 不 显 式 支持 时 限 规定 的 类 Ada 的 实时 语言 ， 当 一 个 任务 同 许多 任 
务 通信 时 ， 可 以 以 下 面 的 方法 从 时 限 错 误 中 恢复 过 来 : 


task body deadline example is 


begin 
loop 
time := calculated time to deadline; 
slack ;= calculate time for degraded algorithm; 
restore := state restoration time; 
timeout value := time - (slack + restore); 
SELECT 
dialog 1; 
TIMEOUT timeout_value 
-- 从 错过 的 时 限 恢复 的 语句 序列 
ELSE 
fail; 
END SELECT; 
end loop; 


end deadline example; 


这 个 任务 首先 计算 到 下 一 个 时 限 的 时 间 延 迟 。 然 后 ， 它 从 中 减 掉 估计 用 来 从 一 个 错过 的 
时 限 中 恢复 的 时 间 和 用 于 状态 恢复 的 时 间 。 这 些 值 之 间 的 差 叫做 空闲 时 间 。 如 果 这 个 对 话 由 
于 时 间 性 错误 或 者 设计 错误 而 没有 在 这 个 时 间 里 完成 ， 那 么 就 启动 恢复 序列 。 
12.8.3 模式 改变 和 基于 事件 的 重 配置 

在 上 面 的 讨论 中 ， 通 常 是 假设 一 个 错过 的 时 限 可 以 由 实际 负责 该 时 限 的 进程 或 者 线程 处 
理 。 实 际 情况 并 不 总 是 这 样 。 一 个 时 间 性 错误 的 后 果 经 常会 是 : 

t 共 他 的 进程 必须 改变 它们 的 时 限 ， 或 者 甚至 终止 它们 正在 干 的 事 。 

* 可 能 需要 启动 新 的 进程。 

“非常 重要 的 计算 可 能 需要 比 当前 可 用 的 更 多 的 处 理 器 时 间 ， 为 了 获得 额外 的 时 间 ， 其 他 

相对 不 重要 的 进程 可 能 需要 被 “ 挂 起 ”. 
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。 可 能 需要 把 进程 “中 断 ”， 以 便于 采取 下 面 的 措施 (典型 的 ) 之 一 : 
立即 返回 目前 已 经 得 到 的 最 好 结果 ; 

一 一 改 用 一 个 更 快 《 可 能 会 相对 不 够 准确 ) 的 算法 ; | 

一 一 忘掉 现在 正在 做 什么 ， 并 且 淮 备 执 行 新 的 指令 : "restart without reload", 
这 些 动作 有 时 被 称 为 基于 事件 的 重 配置 。 

某 些 系统 可 能 会 进入 一 些 预 料 时 限 易 于 错过 的 情形 。 经 历 过 模式 改变 的 系统 很 好 地 说 明 
了 这 一 点 。 在 这 样 的 环境 里 发 生 一 些 事件 ， 这 些 事件 导致 不 再 需要 某 些 已 经 开始 的 计算 。 如 
果 系 统 完成 这 些 计算 的 话 ， 那 么 可 能 会 错过 其 他 的 时 限 ， 因 此 有 必要 提前 终止 那些 包含 这 些 
计算 的 进程 或 时 序 作用 域 。 

为 了 执行 基于 事件 的 重 配置 和 模式 改变 ， 需 要 在 相关 的 进程 之 间 通 信 。 由 于 这 种 通信 的 
异步 特点 ， 有 必要 使 用 出 现在 一 些 语言 如 Ada、Java 和 C/POSIX 中 的 异步 通知 机 制 ( 见 10.5 节 )。 
这 些 机 制 是 低级 的 ， 可 以 证 明确 实 需要 这 些 机 制 ， 以 便 能 通知 调度 程序 停止 调用 某 些 当前 不 
需要 的 进程 ， 并 开始 调用 其 他 的 进程 。 实 时 Java 朝 着 这 个 方向 发 展 ， 它 把 一 些 方法 同 实时 线 
程 相关 联 ， 用 以 通知 调度 程序 某 线程 当前 不 再 需要 。 

实时 Euclid 在 这 个 方面 也 很 有 趣 ， 因 为 它 将 它 的 异步 事件 处 理 机 制 同 它 的 实时 抽象 连结 到 
一 起 。 在 实时 Euclid 里 ， 时 间 约 束 和 进程 关联 ， 并 且 可 以 定义 编 了 号 的 异常 。 每 个 进程 都 必须 
提供 处 理 程序 。 例 如 ， 考 虑 下 面 定 义 了 三 个 异常 的 温度 控制 器 进程 : 


process TempController : periodic frame 60 first activation 





atTime 600 or atEvent startMonitoring 
% 导入 列表 
handler (except_num) 
exceptions (200,201,304) % 例如 
imports (var consul, ...) 
var message : string(80), . 
case except_num of 
label 200: s 非常 低 的 温度 
message := "reactor is shut down" 
consul :- message 
label 201: % 非常 高 的 温度 
message := "meltdown has begun - evacuate” 
consul :- message 
alarm :- true s Base 
label 304: s 传感器 上 的 超时 
s 重新 引导 传感器 设备 
end case 
end handler 
% 
* 执行 部 分 
% 
end TempController 


实时 Euclid 允 许 一 个 进程 引发 另 一 个 进程 的 异常 。 它 支持 三 种 不 同 的 引发 语句 : except. 
deactivate 和 Kkill， 从 字面 上 就 反映 了 它们 的 严厉 程度 一 个 比 一 个 高 。 

except 语 句 基本 上 和 Ada 的 raise (引发 ) 一 样 ， 不 同 的 是 一 旦 处 理 程序 已 经 执行 ， 控制 就 
返回 到 它 离 开 的 地 方 (也 就 是 恢复 模型 )。 相 比 之 下 ， deactivate 语 名 导致 (周期 ) 进程 的 和 迭 
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代 终 止 。 被 终止 的 进程 仍然 执行 异常 处 理 程 序 ， 但 只 有 在 下 一 个 周期 到 来 时 才 会 恢复 活动 。 
要 终止 一 个 进程 , 可 以 用 Ki 语句 , 它 显 式 地 从 一 批 话 动 的 进程 里 删除 一 个 进程 (可 以 是 自己 )。 
它 和 无 条 件 中 止 不 同 的 是 在 终止 之 前 会 执行 异常 处 理 程序 。 它 的 优点 是 进程 可 以 完成 一 些 重 
要 的 “临终 仪式 ”， 缺 点 是 在 处 理 程序 里 的 错误 还 是 可 以 造成 这 个 进程 的 误 动作 。 

为 了 说 明 这 些 异 常 的 使 用 ， 可 以 给 前 面 给 出 的 温度 控制 进程 的 执行 部 分 添加 一 些 细节 。 
注意 在 这 个 例子 里 ， 在 同一 个 进程 里 异常 是 同步 引发 和 处 理 的 ， 而 在 另 一 个 进程 里 则 是 异步 
进行 的 。 首先， 这 个 进程 等 待 一 个 条 件 变量 ， 规 定 了 一 个 超时 并 且 给 出 了 一 个 异常 编号 (如 
果 超 时 ， 则 通过 excep1 引 发 这 个 编号 的 异常 )。 然 后 读 出 并 记录 温度 。 对 温度 值 的 检 测 会 导致 
其 他 异常 被 引发 。 一 个 过 低 的 值 会 产生 一 个 恰当 的 消息 并 且 直到 下 个 周期 之 前 被 停止 使 用 ; 
一 个 过 高 的 值 会 产生 一 个 更 加 恰当 的 一 如 果 有 点 繁琐 的 话 一 一 消息 ， 报 警 进程 中 引发 一 个 异 
党 并 且 让 这 个 温度 控制 器 终止 。 所 有 可 用 的 处 理 器 时 间 现 在 可 以 都 给 这 个 报警 进程 。 

process TempController : periodic frame 60 first activation 

atTime 600 or atEvent startMonitoring 

& 导 人 列表 
handler (except_num) 

exceptions (200,201,304) $ 例如 

imports (var consul, ...) 

var message : string(80), ... 

case except_num of 

. % 同 前 

end case 

end handler 


wait(temperature available) noLongerThan 10 : 304 
currentTemperature := ... $ 低级 i/o 
log := currentTemperature 
if currentTemperature < 100 then 
deactivate TempController : 200 
elseif currentTemperature > 10000 then 
kill TempController : 201 
end if 
% 其 他 计算 
end TempController 
为 了 在 Ada 里 完成 这 种 形式 的 重 配置 ， 有 两 个 机 制 可 以 使 用 : 
“中止 一 类 似 于 kill 
_。ATC 一 一 类 似 于 deactivate 
“Ada 人 允许 用 受 控 变 重 编写 “临终 仪式 ”( 见 第 4 章 )。 正 如 在 10.8 节 指出 的 ，ATC 特征 是 一 
个 普遍 特征 ， 因 此 它 可 以 处 理 deactivate 和 其 他 大 多 数 形式 的 基于 事件 的 重 配 置 。 参 见 文献 
Real and Wellings (1999a) 以 及 Real and Wellings (1999b) 的 关于 Ada 中 模式 改变 的 讨论 。 


小 结 
对 时 间 的 管理 有 很 多 的 困难 ， 这 些 困难 使 得 嵌入 式 系统 和 其 他 计算 机 应 用 区 别 开 来 。 当 


前 的 实时 语言 通常 不 能 充分 支持 这 个 重要 的 领域 。 
为 实时 语言 引入 时 间 的 概念 用 四 个 需求 描述 : 





A 
CA 
O 
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© 访问 时 钟 

* ER 

* 超时 

“时 限 规定 和 调度 

不 同 语言 测量 一 段 时间 的 手段 是 不 同 的 。occam2 支 持 仅仅 返回 一 个 含义 由 实现 定义 的 整 
数 的 TIMER 设 施 。Ada 和 实时 Java 进 了 一 步 ， 为 时 间 提供 了 两 个 抽象 数据 类 型 和 一 个 同时 间 有 
关 的 运算 符 集合 。C/POSIX 为 时 钟 和 定时 器 (包含 周期 定时 器 ) 提供 了 一 组 全 面 的 设施 。 

如 果 一 个 进程 要 暂停 一 段 时 间 ， 需 要 延迟 (或 休眠 ) 原 语 防止 这 个 进程 忙 等 待 。 这 样 的 原 
语 通常 保证 挂 起 这 个 进程 至 少 一 段 指定 的 时 间 ， 但 它 不 能 促使 调度 程序 在 延迟 到 期 后 立即 运 
行 这 个 进程 。 所 以 ， 虽 然 可 以 限制 由 反复 执行 延迟 引起 的 累积 漂移 ， 但 却 无 法 避免 局 部 漂移 。 

对 于 许多 实时 系统 ， 逻 辑 正确 的 软件 还 不 够 ， 程 序 必须 满足 时 间 性 约束 。 令 人 遗憾 的 是 ， 
大 型 实时 系统 的 现 有 工程 实践 还 只 是 针对 特定 目的 的 。 为 了 便于 规定 时 间 性 约束 和 需求 ， 引 
入 一 个 “时 序 作用 域 ” 的 概念 是 很 有 帮助 的 。 时 序 作 用 域 可 能 的 属性 有 : 

* 执行 完成 的 时 限 

* 在 执行 开始 之 前 的 最 小 延迟 

* 在 执行 开始 之 前 的 最 大 延迟 

“最 长 执行 时 间 

“最 长 存在 时 间 
这 一 章 考虑 了 在 编程 语言 里 如 何 规定 时 序 作用 域 的 问题 。 

时 间 性 需求 的 重要 程度 是 刻画 实时 系统 的 一 个 有 用 方法 。 必 须 满足 的 约束 被 称 为 硬 的 ， 
那些 可 以 偶尔 错过 的 或 少量 错过 的 约束 称 为 固 或 软 的 。 

要 做 到 时 间 性 出 错 的 容错 ， 必 须 能 够 检测 : 


“时 限 的 超出 

* 最 坏 情况 执行 时 间 的 超出 

"发 生得 比 预 期 要 频繁 的 偶发 事件 

* 通信 的 超时 
检测 之 后 ， 可 能 需要 进行 基于 事件 的 重 配 置 。 
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练习 


12.1 解释 如 何 变换 一 个 系统 ， 使 其 所 有 时 间 性 失效 都 以 值 失 效 表明 自己 。 可 以 实现 反 向 变换 
吗 ? 
12.2 Ada 的 限时 入 口 调用 应 当 对 会 合 的 完成 (而 不 是 会 合 的 开始 ) 规定 超时 吗 ? 给 出 一 个 例子 
说 明 这 种 方法 何 时 有 用 。 如 果 不 这 么 做 ， 怎 样 得 到 相同 的 效果 ? 
12.3 在 一 个 将 异常 用 于 向 前 出 错 恢复 的 实时 类 Ada 语 言 中 ,建议 了 两 个 预定 义 的 新 异常 (可 能 
由 运行 时 系统 引发 ): 
DEADLINE_ERROR 一 一 当 一 个 代码 块 不 能 在 所 需 的 时 间 间 隔 (相对 于 块 的 开始 ) 内 完 
成 的 时 候 引 发 ; 
WCET_ERROR 一 一 当 一 个 块 使 用 了 多 于 规定 的 CPU 时 间 的 时 候 引发 〈 即 超过 了 最 坏 情 况 
执行 时 间 )。 
讨论 : 
(1) 怎样 将 这 些 异常 集成 到 一 个 类 Ada 语 言 中 ， 特 别 是 如 何 规 定 所 需 的 时 限 和 WCET 值 ; 
(2) 怎样 实现 这 些 异常 (在 运行 时 系统 中 ) ; 
(3) 在 应 用 中 如 何 使 用 它们 。 
12.4 考虑 下 面 一 个 简单 《粗略 的 ) 延迟 机 制 的 管 程 接口 : 
monitor TIME is 
procedure TICK; 
procedure DELAY (D :NATURAL); 
end TIME; 
DELAY 的 调用 者 希望 挂 起 D 个 滴答 。 过 程 TICK 由 某 个 时 钟 例 程 调用 。 每 当 它 被 调用 时 ， 
阻塞 在 DELRAY 的 每 个 进程 就 减少 某 个 计数 器 ( 它 被 初始 化 为 D)， 当 计数 器 到 0 时 ， 就 退 
出 ， 否 则 被 再 次 阻塞 。 
说 明 如 何 实现 这 个 管 程 的 体 。 使 用 条 件 变 量 (在 这 些 变 量 上 定义 有 等 待 和 发 信号 操作 )。 
指出 为 信号 所 假设 的 语义 。 
12.5 讨论 Ada 中 的 包 Time 如 何 提供 和 练习 12.4 中 同样 的 延迟 机 制 (不 要 使 用 Ada 的 延迟 语句 )。 
12.6 能 够 检测 到 实时 Java 中 周期 线程 的 时 限 超出 吗 ? 
12.7 时 限 在 实时 Java 事 件 处 理 器 规格 说 明 中 的 作用 是 什么 ? 
12.8 基于 事件 的 重 配 置 可 以 在 实时 Java 中 执行 到 什么 程度 ? 
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13.1 简单 进程 模型 13.10 进程 交互 和 阻塞 

13.2 循环 执行 方法 13.11 高 限 优先 级 协议 

13.3 基于 进程 的 调度 13.12 一 个 可 扩充 的 进程 模型 
13.4 基于 利用 率 的 可 调度 性 测试 13.13 动态 系统 和 联机 分 析 

13.5 FPS 的 响应 时 间 分 析 13.14 基于 优先 级 系统 的 编程 
13.6 EDF 的 响应 时 间 分 析 小 结 

13.7 最 坏 情况 执行 时 间 相关 阅读 材料 

13.8 偶发 和 非 周期 进程 练习 


13.9 D<T 的 进程 系统 


在 一 个 并 发 程序 中 ， 不 一 定 要 规定 进程 执行 的 精确 顺序 。 同 步 原 语 被 用 以 施加 局 部 顺序 
约束 ， 例 如 互 斥 ， 但 程序 的 整体 行为 展现 了 重大 的 不 确定 性 。 如 果 程 序 是 正确 的 ， 那 么 ， 不 
管内 部 行为 或 实现 细节 如 何 ， 程 序 的 功能 性 输出 将 是 一 样 的 。 例 如 ， 在 一 个 单 处 理 器 上 有 5 个 
独立 的 进程 ， 它 们 按 非 抢占 的 方式 执行 ， 则 有 120 种 不 同 的 执行 顺序 。 在 多 处 理 器 系统 上 或 在 
可 抢占 系统 上 ， 则 有 无 穷 多 种 的 交叉 执行 。 

虽然 程序 的 输出 在 所 有 可 能 的 交叉 执行 情况 下 都 是 相同 的 ， 时 间 性 行为 却 有 相当 大 的 变 
化 。 如 果 上 面 五 个 进程 中 有 一 个 有 很 紧迫 的 时 限 ， 那 么 也 许 只 有 这 一 进程 首先 执行 才能 满足 
程序 的 时 间 性 需求 。 一 个 实时 系统 需要 限制 并 发 系统 中 的 不 确定 性 。 这 个 过 程 称 为 调度 。 通 
常 ， 调 度 方案 提供 两 个 功能 : 

* 一 个 安排 系统 资源 (特别 是 CPU) 使 用 顺序 的 算法 

* 一 个 在 应 用 调度 算法 时 预测 最 坏 情况 系统 行为 的 手段 
这 样 ， 就 可 以 用 预测 结果 来 证 实 系统 的 时 间 性 需求 得 到 满足 。 

调度 方案 可 能 是 静态 的 (如 果 预 测 是 在 执行 前 进行 的 ) 或 是 动态 的 〈 使 用 运行 时 决策 )。 
本 章 主要 讨论 静态 方案 ， 主 要 关注 基于 优先 级 的 抢占 方案 。 这 里 ， 进 程 被 分 配 了 优先 级 ， 任 
何 时 刻 都 是 执行 最 高 优先 级 的 进程 《如 果 它 没有 被 延 时 或 挂 起 ) 。 所 以 一 个 调度 方案 包括 优先 
级 分 配 算法 和 可 调度 性 测试 。 


13.1 简单 进程 模型 


不 可 能 容易 地 分 析 一 个 极为 复杂 的 并 发 程序 ， 以 预测 它 的 最 坏 情 况 的 行为 。 所 以 需要 对 
实时 并 发 程序 的 结构 给 出 一 些 限 制 。 本 节 将 介绍 一 个 非常 简单 的 模型 以 描述 一 些 标准 的 调度 
方案 。 这 一 模型 将 在 本 章 的 后 续 部 分 进一步 泛 化 (并 在 14 章 和 16 章 进行 进一步 考察 )。 基 本 横 
型 有 下 列 特征 : 

* 假设 应 用 是 由 固定 数目 的 进程 组 成 的 。 
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。 所 有 进程 是 周期 性 的 ， 并 具有 已 知 的 周期 。 
。 各 个 进程 彼此 完全 独立 。 
。 所 有 系统 开销 、 上 下 文 切换 时 间 等 被 忽略 ( 即 假设 开销 为 0)。 
“所 有 进程 的 时 限 等 于 它们 的 周期 ( 即 每 个 进程 必须 在 它 下 一 次 启动 前 完成 )。 
。 所 有 进程 有 固定 的 最 坏 情 况 执 行 时 间 。 i 
进程 独立 性 的 一 个 必然 推论 是 可 以 假设 所 有 的 进程 能 在 同一 时 间 同 时 启动 。 这 表示 了 处 
理 器 的 最 大 负载 能 力 ， 并 被 称 为 临界 瞬间 (critical instant), 
表 13-1 给 出 了 进程 特征 的 标准 记号 集 。 
表 13-1 标准 记号 集 
记 号 Ho xk 


ee 


进程 的 最 坏 情 况 阻 塞 时 间 (如 果 适 用 ) 
进程 的 最 坏 情 况 计算 时 间 (WCET) 
进程 的 时 限 

进程 的 干扰 时 间 

进程 的 启动 抖动 

系统 中 进程 的 个 数 

分 配给 进程 的 优先 级 (如果 适用 ) 
进程 的 最 坏 情 况 响 应 时 间 

进程 启动 间 的 最 小 时 间 (进程 周期 ) 
每 个 进程 的 利用 率 (等 于 C/T) 


进程 的 名 字 
一 -一 M OEBRME 
13.2 循环 执行 方法 


对 于 一 组 数目 固定 的 纯 周 期 性 的 进程 ， 可 以 安排 一 个 完整 的 调度 方案 ， 该 调度 方案 的 重 
复 执行 将 使 所 有 进程 以 正确 的 速率 运行 。 从 本 质 上 说 ， 循 环 执行 是 一 个 过 程 调用 表 ， 每 个 过 
程 代表 一 个 “进程 ”的 部 分 代码 。 完 整 的 调用 表 被 称 为 大 循环 (major cycle)， 它 通常 由 几 个 
AMBER (minor cycle) 组 成 ， 每 个 小 循环 有 固定 的 持续 时 间 。 例 如 ，4 个 小 循环 每 个 持续 时 间 
为 25ms， 那 么 大 循环 有 100ms 的 持续 时 间 。 执 行 期 间 ， 时 钟 每 25ms 中 断 一 次 ， 它 使 调度 程序 
依次 调度 这 4 个 小 循环 (每 次 调度 一 个 )。 表 13-2 给 出 了 一 组 进程 ， 它 们 必须 用 一 个 简单 的 4 槽 
大 循环 来 实现 。 循 环 执行 的 可 能 映射 如 图 13-1 所 示 ， 该 图 说 明了 在 任 一 时 刻 处 理 器 正在 执行 
的 工作 。 这 样 一 个 系统 的 代码 可 用 如 下 的 简单 形式 表示 : 


loop 


Gu ep ves “ODO 4 & 


a 
| 
N 


wait_for_interrupt; 
procedure for a; 
procedure for b; 
procedure for c; 
wait for interrupt; 
procedure for a; 
procedure for b; 
procedure for d; 
procedure for e; 
wait for interrupt; 
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procedure for a; 
procedure for b; 
procedure for c; 
wait for interrupt; 
procedure for a; 
procedure for b; 
procedure for d; 


end loop; 


13-2 循环 执行 进程 集合 





进 RW 周期 ，7 计算 时 间 ，C 
a 25 10 
b 25 8 
C 50 5 
d 50 4 
e 100 2 
= T — t a E “a m 5! 
时 间 





图 13-1 进程 集合 的 时 间 线 


就 是 这 么 一 个 简单 的 例子 也 说 明了 这 种 方法 的 一 些 重要 特征 : 

* 在 运行 时 没有 实际 进程 存在 ， 每 个 小 循环 仅仅 是 一 个 过 程 调用 序列 。 

“ 这些 过 程 共享 一 个 公共 地 址 空间 ， 它 们 之 间 可 以 相互 传递 数据 。 这 些 数 据 不 需要 加 以 保 

护 ( 例 如， 利用 信号 量 )， 因 为 没有 并 发 访问 。 

“所 有 “进程 ”的 周期 必须 是 小 循环 时 间 的 倍数 。 

最 后 一 个 性 质 是 循环 执行 方法 的 主要 缺点 之 一 ， 其 他 缺点 包括 (Locke, 1992): 

“加 入 偶发 进程 的 困难 ; 

* 加 入 长 周期 进程 的 困难 ， 在 没有 二 级 调度 时 ， 大 循环 时 间 是 进程 能 采用 的 最 大 周期 ( 即 

二 级 调度 是 指 在 大 循环 中 的 一 个 过 程 ， 每 N 个 大 循环 调用 一 次 二 级 过 程 ); 

* 难以 实际 构造 这 种 循环 执行 ; 

* 任何 一 个 有 相当 长 计算 时 间 的 “进程 ”将 需要 被 划分 为 固定 数目 的 固定 长 度 的 过 程 (这 

种 划分 从 软件 工程 的 角度 看 可 能 破坏 代码 结构 ， 所 以 是 易 出 错 的 )。 

如 映 可 以 构造 一 个 循环 执行 ， 就 不 需要 进一步 的 可 调度 性 测试 (在 构造 过 程 中 就 已 经 证 
明了 )。 但 是 ， 对 于 高 利用 率 的 系统 ， 这 种 循环 执行 方式 的 构造 是 有 问题 的 。 这 个 问题 与 经 典 
的 装 箱 问题 (bin packing problem) 类 似 。 在 装 箱 问题 中 ， 不 同 大 小 (一 维 ) 的 物品 必须 放 在 
最 小 数目 的 箱子 里 ， 且 没有 箱子 是 过 满 的 。 装 箱 问 题 被 公认 为 NP 难度 问题 ， 因 此 对 于 相当 大 
的 问题 (一 个 典型 的 实际 系统 可 能 包含 40 个 小 循环 和 400 个 人 口 )， 它 是 不 可 计算 的 。 所 以 必 
须 采 用 启发 式 次 优 方案 。 

虽然 对 于 简单 的 周期 系统 来 说 ， 循 环 执行 仍然 是 一 个 合适 的 实现 策略 ， 但 是 ， 更 灵活 和 
适应 性 更 强 的 方法 是 基于 进程 的 调度 方案 。 因 此 本 章 的 其 余部 分 将 关注 这 些 方法 。 
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13.3 基于 进程 的 调度 


在 循环 执行 方法 中 ， 运 行 时 只 有 一 系列 的 过 程 调用 被 执行 。 在 执行 期 间 没 有 进程 (线程 ) 
的 概念 。 另 一 个 可 选 的 方法 是 直接 支持 进程 执行 (这 在 通用 操作 系统 中 是 一 个 标准 )， 并 通过 
使 用 一 个 或 多 个 调度 属性 以 决定 系统 在 任 一 时 刻 执 行 哪个 进程 。 使 用 这 种 方法 ， 一 个 进程 将 
处 于 下 列 状态 之 一 (假设 没有 进程 间 通 信 ): 1 

。 可 运行 的 

。 挂 起 等 待 时 间 性 事件 一 一 适用 于 周期 进程 

。 挂 起 等 待 非 时 间 性 事件 一 一 适用 于 偶发 进程 
13.3.1 调度 方法 

一 般 说 来 ， 有 许多 不 同 的 调度 方法 。 本 书 将 考虑 三 种 : 

* 固定 优先 级 调度 (Fixed-Priority Scheduling, FPS) 一 一 这 是 一 种 最 广泛 使 用 的 方法 ， 

也 是 本 章 要 重点 介绍 的 。 每 个 进程 有 一 个 固定 的 、 静 态 的 优先 级 ， 优 先 级 是 在 运行 前 计 

算 的 。 可 运行 的 进程 是 按 它们 的 优先 级 决定 的 顺序 执行 的 。 在 实时 系统 中 ， 进 程 的 “ 优 

先 级 ”是 源 自 它 的 时 序 需 求 ， 而 不 是 源 自 系统 正确 功能 的 重要 性 或 完整 性 。 

“最 早 时 限 优先 (Earliest Deadline First, EDF) 调度 。 这 里 根据 进程 的 绝对 时 限 决定 可 

运行 进程 的 执行 顺序 ， 下 一 个 将 运行 的 进程 是 有 最 短 (最 近 ) 时 限 的 进程 。 虽 然 通常 只 

知道 每 个 进程 的 相对 时 限 (例如 启动 后 25ms )， 但 绝对 时 限 是 在 运行 时 计算 的 ， 因 此 这 

种 方案 被 认为 是 动态 的 。 

* 基于 值 的 (Value-Based Scheduling, VBS) 调度 。 如 果 一 个 系统 可 能 变 得 超载 ， 那 

么 简单 的 静态 优先 级 或 时 限 是 不 够 的 ， 因 此 需要 一 个 更 有 适应 性 的 方案 。 通 常 采用 的 

形式 是 给 每 个 进程 赋 一 个 值 ， 使 用 联机 的 基于 值 的 调度 算法 去 决定 下 一 个 运行 哪 一 个 

进程 。 

如 前 面 曾 指出 的 ， 本 章 的 主要 内 容 是 关于 FPS， 因 为 它 被 各 种 实时 语言 和 操作 系统 标准 所 
支持 。EDF 的 使 用 也 是 很 重要 的 ， 下 面 的 讨论 给 出 了 一 些 对 它 的 分 析 基 础 。 本 章 未 尾 的 13.13 
节 给 出 使 用 VBS 的 一 个 简短 描述 。 

13.3.2 抢占 和 非 抢 占 

在 基于 优先 级 的 调度 中 ， 一 个 高 优先 级 的 进程 可 能 在 一 个 低 优先 级 进程 的 执行 过 程 中 被 
启动 。 在 抢占 (preemptive) 方案 中 ， 将 立即 切换 到 高 优先 级 进程 。 相 反 ， 在 非 抢 占 (non- 
Preemption) 方案 中 ， 在 执行 其 他 进程 之 前 ， 允 许 低 优先 级 进程 完成 运行 。 通 常 ， 抢 占 方案 使 
高 优先 级 进程 更 有 活性 ， 因 为 它们 是 首选 的 。 在 抢占 和 非 抢 占 两 个 极端 之 间 ， 有 一 个 可 供 先 
择 的 策略 ， 那 就 是 允许 较 低 优先 级 的 进程 继续 运行 一 段 限定 的 时 间 (但 不 一 定 完 成 ) 申 这 种 广 
案 被 称 为 延期 抢占 (deferred preemption) 或 合作 分 派 (cooperative dispatching )。 在 13.12.1 
节 将 再 次 考虑 这 个 问题 。 在 这 一 节 之 前 ， 分 派 将 被 假定 为 可 抢占 的 。 EDF 和 VBS 等 方案 也 能 
采用 抢占 或 非 抢占 方式 。 

13.3.3 FPS 和 速率 单调 优先 级 分 配 


对 于 13.1 节 描述 的 简单 模型 ， 存 在 一 个 简单 的 最 优优 先 级 分 配方 案 ， 该 方案 被 称 为 速率 单 
W (rate monotonic) 优先 级 分 配 。 每 个 进程 根据 它 的 周期 被 赋 一 个 (惟一 的 ) 优先 级 ， 周 其 
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a, KAR a. PAA, T; « Tj P; P;)。 速 率 单 调 优 先 级 分 配 在 下 
面 的 意义 下 是 最 优 的 : 如 果 任 一 进程 集合 能 用 固定 优先 级 分 配方 案 进行 调度 (使 用 可 抢占 的 
基于 优先 级 的 调度 )， 那 么 ， 给 定 的 进程 集合 也 能 用 速率 单调 分 配方 案 进行 调度 。 表 13-3 列 出 
了 一 个 有 5 个 进程 的 集合 ， 并 显示 了 进程 优先 级 同 进程 周期 的 关系 。 需 要 注意 的 是 ， 优 先 级 用 
整数 表示 ， 较 大 的 数 表示 较 高 的 优先 级 。 在 阅读 基于 优先 级 调度 的 其 他 书籍 和 论文 时 需要 特 
别 小 心 ， 因 为 优先 级 可 能 按 其 他 方式 来 排序 ， 也 就 是 ，1 代 表 最 高 优先 级 。 而 在 本 书 中 ，1 代 
表 最 低 优 先 级 ， 因 为 这 是 大 多 数 编程 语言 和 操作 系统 的 常规 用 法 。 


表 13-3 ”优先 级 分 配 的 例子 


xt A JANE. T 优先 级 ，P 
a 25 5 
b 60 3 
C 42 4 
d 105 1 
e 75 2 


13.4 基于 利用 率 的 可 调度 性 测试 


本 节 描 述 一 个 非常 简单 的 关于 FPS 的 可 调度 性 测试 ， 虽 然 它 不 够 精确 ， 但 是 其 简明 性 使 它 
很 有 吸引 力 。 

Liu 和 Layland (1973) 指出 ， 如 果 仅 考虑 进程 集合 的 利用 率 ， 可 以 获得 一 个 可 调度 性 测 
试 〈 当 使 用 速率 单调 优先 级 排序 时 ) 。 如 果 下 列 条 件 为 真 ， 那 么 所 有 N 个 进程 将 满足 它们 的 时 
限 (注意 要 对 所 有 进程 的 利用 率 求 和 ): 


~ C, VN 
3(E] < we -1) (13-1) 


表 13-4 显 示 了 N 较 小 时 利用 率 的 界限 (百分比 )。 当 N 很 大 时 ， 界 限 接近 69.3%。 因 此 ， 当 
使 用 可 抢占 的 基于 优先 级 的 调度 方案 进行 调度 、 且 优先 级 是 用 速率 单调 算法 进行 分 配 时 ， 任 
何 利 用 率 之 和 小 于 69.3% 的 进程 集合 总 是 可 调度 的 。 


表 13-4 利用 率 界限 
N 利用 率 界限 


m -~ 


100.0% 
82.8% 
78.0% 
75.7% 
74.3% 
71.8% 


CM FY rt 一 


下 面 给 出 三 个 简单 的 例子 来 说 明 这 种 测试 的 使 用 。 在 这 些 例 子 中 ， 没 有 定义 时 间 单位 
《绝对 时 间 量 )。 只 要 所 有 的 值 (T. CE) 是 同样 的 单位 ， 这 种 测试 就 适用 。 因 此 ， 在 这 些 例 
子 〈 以 及 后 面 的 例子 ) 中 ， 时 间 单 位 被 看 作 是 某 个 假定 时 间 基 的 滴答 (tick) $. 


A 
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3213-5 进程 集合 A 


进 & 周期 ,了 计算 时 间 ，C 优先 级 ，P HAR, U 
a 50 12 1 0.24 
b 40 10 2 0.25 
c 30 10 3 0.33 


表 13-5 包 含 3 个 进程 ， 并 且 使 用 速率 单调 算法 给 它们 分 配 了 优先 级 《进程 c 有 最 高 优先 级 ， 
a 有 最 低 优先 级 )。 它 们 的 组 合 利用 率 为 0.82 (或 82%)。 这 个 利用 率 在 3 个 进程 的 利用 率 门限 值 
(0.78) 之 上 ， 因 此 ， 这 个 进程 集合 没有 通过 利用 率 测试 。 

这 个 进程 集合 的 实际 行为 可 以 通过 画 时 间 线 (time-line) 来 说 明 。 图 13-2 显 示 了 3 个 进程 
的 执行 过 程 ， 它 们 都 从 时 间 0 开 始 执行 。 注 意 ， 在 时 间 50 时 ， 进 程 c 仅 执行 了 10 个 滴答 ， 而 它 
需要 执行 12 个 滴答 ， 因 此 ， 它 错过 了 它 的 第 一 个 时 限 。 





个 进程 启动 时 间 a 执行 
O 进程 完成 时 间 一 时 限 满足 | 
e 时 限 错过 [| ees 


图 13-2 进程 集合 A 的 时 间 线 
时 间 线 是 说 明 执行 模式 的 有 用 方法 。 图 13-2 也 可 用 Gantt 图 (Gantt chart) 来 表示 ， 如 图 


13-3 所 示 。 
= A eS ee WOUON 
0 10 20 30 40 50 


时 间 ———> 
图 13-3 进程 集合 A 的 Gantt 图 


第 二 个 例子 见 表 13-6。 这 3 个 进程 的 组 合 利用 率 为 0.775， 低 于 界限 ， 因 此 这 个 进程 集合 肯 
定 能 满足 所 有 的 时 限 。 如 果 画 出 这 个 进程 集合 的 时 间 线 ， 从 图 上 可 以 看 出 所 有 的 时 限 都 满足 。 

虽然 较 麻 烦 ， 时 间 线 确实 能 用 于 可 调度 性 测试 。 但 是 ， 时 间 线 应 画 多 长 才能 作出 结论 
We? 如 果 进 程 集合 的 启动 时 间 相 同 〈 即 它们 共享 一 个 临界 皮 间 )， 时 间 线 的 长 度 等 于 最 长 的 进 
程 周 期 就 足够 了 〈Liu and Layland，1973)。 所 以 ， 如 果 所 有 进程 满足 它们 的 第 一 个 时 限 ， 那 
么 它们 将 满足 所 有 将 来 的 时 限 。 
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13-6 进程 集合 B 


vE & 周期 ,7T 计算 时 间 ，C RER, P TIS, U 
a 80 32 . 1 0.400 
b 40 5 2 0.125 
d 16 4 3 0.250 


最 后 一 个 例子 见 表 13-7。 这 仍然 是 一 个 3 个 进程 的 系统 ， 但 是 组 合 利用 率 为 100% ， 显 然 ， 
它 不 能 通过 测试 。 但 是 在 运行 时 ， 它 们 的 行为 似乎 是 正确 的 ， 所 有 的 时 限 在 时 间 80 时 都 能 得 
到 满足 ( 见 图 13-4)。 进 程 集 合 没有 通过 测试 ， 但 是 在 运行 时 没有 错过 时 限 。 因 此 ， 测 试 是 充 
分 条 件 而 不 是 必要 条 件 。 如 果 一 个 进程 集合 通过 测试 ， 它 将 满足 所 有 时 限 ; 如 果 它 没有 通过 
测试 ， 则 在 运行 时 可 能 失败 也 可 能 不 失败 。 最 后 要 指出 ， 基 于 利用 率 的 测试 仅 提供 了 一 个 简 
单 的 “是 ”或 “不 是 ”的 回答 。 它 并 没有 对 进程 的 实际 响应 时 间 给 出 任何 指示 。 进 程 的 响应 
时 间 将 在 13.5 节 中 讨论 。 


表 13-7 进程 集合 C 





it 8 周期 ,7 计算 时 间 ，C 优先 级 ; P HAR, U 
a 80 40 1 0.50 
b 40 10 2 0.25 


c 20 5 3 0.25 





0 10 20 30 40 50 60 70 80 
Ws. 7» 


图 13-4 进程 集合 C 的 时 间 线 


EDF 的 基于 利用 率 的 可 调度 性 测试 


Liu 和 Layland (1973) 的 论文 不 仅 介绍 了 针对 固定 优先 级 调度 的 基于 利用 率 的 测试 ， 而 
且 也 为 EDF 给 出 了 一 个 基于 利用 率 的 测试 : 


ee) «1 (13-2) 
e T, ; 


很 明显 ， 这 是 一 种 简单 得 多 的 测试 。 只 要 进程 集合 的 利用 率 小 于 处 理 器 的 总 容量 ， 那 么 
所 有 时 限 将 能 被 满足 (对 于 简单 进程 模型 )。 在 这 个 意义 下 ，EDF 优 于 FPS， 它 总 是 能 调度 
FPS 能 调度 的 任何 进程 集合 ， 但 是 并 非 所 有 通过 EDF 测 试 的 进程 集合 都 能 使 用 固定 优先 级 方法 








à 
A 
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a 
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来 调度 。 既 然 有 这 个 优势 ， 那 为 什么 EDF 不 是 基于 进程 调度 的 首选 方法 呢 ? 理由 是 FPS 有 一 些 
超过 EDF 的 优势 : 
。FPS 更 容易 实现 ， 因 为 调度 属性 (RER) 是 静态 的 ;，EDF 是 动态 的 ， 因 此 需要 更 复杂 
的 运行 时 系统 ， 开销 也 更 高 
“将 没有 时 限 的 进程 加 入 到 FPS 比 较 容易 〈 只 给 它们 分 配 优先 级 就 可 以 了 ) ， 而 给 进程 一 
个 任意 的 时 限 是 更 人 为 的 做 法 。 
。 时 限 属性 不 是 惟一 重要 的 参数 ， 将 其 他 因素 加 入 优先 级 概念 又 比 将 这 些 因素 加 入 时 限 容 
易 些 。 
“在 超载 (也 许 是 故障 状态 ) 的 情况 下 ，FPS 的 行为 更 可 预测 ( 较 低 优先 级 的 进程 将 首先 
错过 时 限 ) ; EDF 在 超载 时 是 不 可 预测 的 ， 可 能 产生 多 米 诸 效 应 ， 导致 大 量 进程 错过 时 
限 。 在 13.13 节 将 进一步 讨论 这 一 点 。 
* 对 于 简单 模型 ， 基 于 利用 率 的 测试 是 一 种 误解 ， 因 为 它 对 于 EDF 是 充分 必要 条 件 ， 而 对 
FPS 它 只 是 充分 条 件 ， 因 此 ，FPS 通 常 能 达到 更 高 的 利用 率 。 
即使 有 最 后 这 一 点 ，EDF 确 实 有 一 个 超过 FPS 的 优点 ， 那 就 是 它 有 更 高 的 利用 率 。 因 此 ， 
在 一 些 实验 系统 中 ，EDF 持 续 地 被 研究 和 使 用 。 


13.5 FPS 的 响应 时 间 分 析 


FPS 的 基于 利用 率 的 测试 有 两 个 明显 缺点 : 它们 不 准确 ， 而 且 它们 不 真正 适合 于 更 一 般 的 
进程 模型 。 本 节 提 供 一 种 不 同 的 测试 形式 。 这 种 测试 分 两 个 阶段 。 首 先 ， 使 用 一 种 分 析 方 法 
去 预测 每 个 进程 最 坏 情况 下 的 响应 时 间 。 然 后 将 这 些 值 同 进程 的 时 限 进行 比较 。 这 需要 单独 
分 析 每 个 进程 。 

对 于 最 高 优先 级 的 进程 ， 它 的 最 坏 情况 响应 时 间 等 于 它 的 计算 时 间 ( 即 R=C)。 其 他 进程 
将 受到 较 高 优先 级 进程 的 干扰 ， 这 就 是 当 一 个 低 优先 级 进程 可 运行 时 ， 一 个 较 高 优先 级 进程 
执行 所 花费 的 时 间 。 因 此 ， 对 于 一 个 普通 进程 i: 

R;-Cil, (13-3) 
其 中 ，7 是 进程 在 时 间 间 隔 [0, +R) 期 间 所 经 受 的 最 大 干扰 8 。 最 大 干扰 明显 出 现在 所 有 
更 高 优先 级 的 进程 同 进程 同时 启动 的 时 候 〈 即 在 临界 瞬间 )。 不 失 一 般 性 ， 假 设 所 有 进程 在 
时 间 0 时 启动 。 假 设 进程 /的 优先 级 高 于 进程 ;， 那 么 在 间隔 [0, R) 期 间 ， 进 程 /将 会 启动 多 次 
(至 少 一 次 )。 启 动 次 数 可 以 使 用 一 个 高 限 函 数 (ceiling function) 来 简单 地 表达 : 








高 限 函 数 (| ] ) 给 出 大 于 分 式 的 最 小 整数 。 比 如 ，1/3 的 高 限 是 1，6/5 的 高 限 是 2，6/3 的 高 限 
是 2。 不 需要 考虑 负数 的 高 限 。 

因此 ， 如 果 R 是 15，7 是 6， 那 么 进程 /有 3 次 启动 (在 时 间 0、6、12)。 进 程 指 每 次 启动 将 
施加 一 个 Cj 长 度 的 干扰 。 所 以 ， 


O 注意 ， 因 为 这 种 分 析 中 使 用 离散 时 间 模 型 ， 所 有 的 时 间 闻 隔 必 须 在 开始 是 闭 区 间 (用 “[” 表 示 )， 在 结束 
是 开 区 间 (用 “)” 表 示 )}， 因 此 一 个 进程 能 在 一 个 更 高 优先 级 进程 启动 的 同一 时 刻 完成 运行 。 
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R 
最 大 干扰 = T C, 








如 果 C=2， 那 么 在 间隔 [0, 15) 之 间 有 6 个 时 间 单 位 的 干扰 。 每 个 更 高 优先 级 的 进程 都 对 进 
程 产 生 干 扰 ， 所 以 : 


C; 





R, 
T, 
了 





Jp) 
合 。 


这 里 hp(i) 是 比 进程 ;优先 级 高 的 进程 的 集 
Pandya，1986 ): 


将 该 式 代入 等 式 (13-3) 得 到 (Joseph and 


HC. (13-4) 


R 
R-6* P IT IC 
虽然 干扰 公式 是 准确 的 ， 但 是 实际 的 干扰 数 是 未 知 的 ， 因 为 R 是 未 知 的 ( 它 是 正在 计算 的 
值 )。 在 方程 (13-4) 的 两 边 都 有 R;， 但 因 高 限 函 数 ， 使 方程 难以 求解 。 这 实际 上 是 一 个 不 动 
点 方程 的 例子 。 一 般 来 说 ，R, 可 取 许 多 值 来 满足 方程 (13-4). 最 小 的 R, 值 代表 进程 在 最 坏 情 
况 下 的 响应 时 间 。 求 解 方 程 (13-4) 最 简单 的 方法 是 构造 一 个 递 推 关系 (Audsley 等 ，1993a): 








LIC, (13-5) 


J 


w 
w'" =C + > 
t i 
JetpG) T, 


j 


PR, {w?, wi, wi. =n wi, =) 值 集 是 单调 非 降 的 。 当 wr = w+ 时 ， 方 程 的 解 就 找到 了 。 
如 果 w? < R;， 那 么 w? 是 最 小 解 ， 也 正 是 所 需要 的 值 。 如 果 方 程 没 有 解 ， 那 么 w 值 将 不 断 上 升 
(如 果 所 有 进程 的 总 利用 率 超过 100%， 这 种 情况 将 发 生 在 低 优先 级 进程 上 )。 一 旦 w 值 超过 了 
进程 的 周期 7， 就 可 以 确定 进程 将 不 能 满足 它 的 时 限 。 基 于 以 上 分 析 可 以 得 出 下 面 的 计算 响应 
时 间 的 算法 : 

for i in 1..N loop -- 依次 对 每 个 进程 


n := 0 








loop 
按 式 (13.5) 计 算 新 的 w?*! 
if wit! = w? then 
Ri := wj 
exit { 值 找 到 } 
end if 
if wit! > T, then 
exit { 值 未 找到 } 
end if 
n: =n+1 
end loop 
end loop 


电 定 义 的 隐 含 含义 ， 如 果 求 出 了 响应 时 间 ， 它 将 小 于 T， 也 因此 小 于 进程 的 时 限 D, (请 记 住 在 
简单 进程 模型 中 ， D;-T;). 


EN 
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在 以 上 讨论 中 ，w; 仅 仅 作为 一 个 数学 实体 用 于 求解 一 个 不 动 点 方程 。 但 是 ， 可 以 从 问题 
领域 给 w 一 个 直觉 上 的 解释 。 考 虑 进程 :的 启动 点 ， 从 这 一 点 开始 ， 直 到 进程 结 来 ， 处 理 器 将 
执行 优先 级 等 于 或 大 于 Pi 的 进程 。 处 理 器 被 认为 是 正在 执行 一 个 Pi TERRA (busy period). 
将 wi 看 作 一 个 时 间 窗 口 ， 它 将 滑 过 这 个 忙碌 期 。 在 时 间 0 (进程 ;的 假定 启动 时 间 )， 假 设 所 有 
更 高 优先 级 的 进程 都 已 启动 ， 因 此 


w=C,+ 
ipli) 


C, 


这 将 是 忙碌 期 的 结束 点 ， 除 非 有 更 高 优先 级 进程 再 次 启动 。 如 果 是 这 样 ， 那 么 时 间 窗 口 就 需 
要 向 后 移动 。 这 一 过 程 随 着 时 间 窗 口 的 扩大 持续 下 去 ， 因 此 更 多 的 计算 时 间 落 入 了 这 个 时 间 
窗口 。 如 果 这 一 过 程 无 限 持续 下 去 ， 那 么 忙碌 期 是 无 限 的 (也 就 是 没有 解 )。 但 是 ， 如 果 在 任 
一 时 刻 ， 一 个 正在 扩大 的 时 间 窗口 没有 遇 到 更 高 优先 级 进程 的 再 次 启动 ， 那 么 ， 忙 碌 期 就 已 
完成 ,并且 忙碌 期 的 长 度 就 是 进程 的 响应 时 间 。 

为 了 说 明 如 何 使 用 响应 时 间 分 析 ， 考 虑 在 表 13-8 中 给 出 的 进程 集合 D。 


表 13-8 进程 集合 D 


进 程 H., T 计算 时 间 ，C RER, P 
a 7 3 3 
b 12 3 2 
c 20 5 1 


最 高 优先 级 进程 4 的 响应 时 间 等 于 它 的 计算 时 间 (例如 ，R。=3)。 下 一 个 进程 的 响应 时 间 
需要 计算 。 令 ws 等 于 进程 4 的 计算 时 间 ， 也 就 是 3。 用 式 (13-5) 来 推导 w 的 下 一 个 值 : 


w, -3+ [5] 3 


即 ws =6。 这 个 值 满足 等 式 w? =wl =6， 进 程 p 的 响应 时 间 就 得 到 了 (R,=6). 
对 最 后 一 个 进程 的 计算 如 下 : 


w 25 

w'=5+[>] 34/2] 3 2 11 
7 I2 

w' 2s, [1l 34 [1l 3 = 14 
7 12 

wi254 1 3, [14 3 = 17 
7 12 

wi =5+(27] 3+[ 卫 |] 3 = 20 
7 12 

w -5+|| 34/22] 3 = 20 
7 12 


因此 ，Re 有 最 长 的 响应 时 间 20， 这 意味 着 它 刚好 满足 它 的 时 限 。 图 13-5 用 Gantt 图 说 明了 这 种 
行为 。 








elek edele he 
4 6 2 8 20 


0 2 8 10 12 4 16 1 
时 间 一 一 上 


图 13-5 进程 集合 D 的 Gannt 图 
再 次 考虑 进程 集合 C。 这 个 集合 没有 通过 基于 利用 率 的 测试 ， 但 是 在 时 间 80 时 满足 了 所 有 
进程 的 时 限 要 求 。 表 13-9 显 示 了 用 以 上 方法 计算 的 这 个 集合 的 响应 时 间 。 需 要 注意 的 是 所 有 
进程 都 能 在 它们 的 时 限 前 完成 。 


表 13-9 进程 集合 C 的 响应 时 间 





进 程 EP. T 计算 时 间 ，C 优先 级 ，P 响应 时 间 ，R 
a 80 40 1 80 
b 40 10 2 15 
c 20 5 3 5 





响应 时 间 计 算 的 优点 是 它们 是 充分 必要 条 件 一 如果 进程 集合 通过 了 测试 ， 它 们 就 满足 所 
有 的 时 限 ; 如 果 没 有 通过 和 测试， 那么 在 运行 时 ， 一 个 进程 将 错过 它 的 时 限 (除非 估计 的 计算 
时 间 过 于 翡 观 )。 因 为 这 种 测试 优 于 基于 利用 率 的 测试 ， 本 章 将 重点 关注 扩大 响应 时 间 方 法 的 
适应 性 。 


13.6 EDF 的 响应 时 间 分 析 


EDF 方 案 的 一 个 缺点 是 当 所 有 进程 在 临界 瞬间 启动 时 ， 无 法 得 出 每 个 进程 的 最 坏 情况 响 ‘ 

应 时 间 。 在 那 种 情况 下 ， 只 有 那些 有 较 短 相对 时 限 的 进程 进行 干扰 。 但 是 ， 以 后 可 能 存在 一 
种 场合 ， 在 这 里 所 有 进程 (至 少 是 更 多 ) 有 较 短 的 绝对 时 限 。 例 如 ， 考 虑 在 表 13-10 中 描述 的 
一 个 3 进程 系统 。 进 程 的 行为 就 说 明了 这 个 问题 。 在 时 间 0， 也 就 是 临界 瞬间 ，b 仅 仅 受到 进 
程 4 的 干扰 (一 次 )， 它 的 响应 时 间 为 4。 但 是 在 进程 的 下 一 次 启动 时 (在 时 间 12)， 进 程 c 仍 
然 在 执行 ， 且 c 有 较 短 的 时 限 ( 16 对 24)， 因 此 进程 < 优先 执行 ， 进 程 第 二 次 启动 的 响应 时 间 
为 8， 两 倍 于 在 临界 瞬间 得 到 的 值 。 后 来 的 启动 也 许 得 到 更 大 的 值 ， 当 然 这 个 值 最 大 被 限定 在 
12， 二 为 这 个 系统 使 用 EDF 是 可 调度 的 (利用 率 是 1)。 因 此 ， 寻 找 最 坏 情 况 是 非常 复杂 的 。 
这 需要 考虑 所 有 进程 的 启动 ， 以 查看 哪 一 个 进程 受到 了 其 他 有 较 短 时 限 的 进程 的 最 大 干扰 。 


表 13-10 EDF 的 进程 集合 


xt 程 T (=D) ， C 
一 一 MÀ LLL 
a 4 1 
b 12 3 
C 16 8 


a 
在 所 有 进程 都 是 周期 进程 的 简单 模型 中 ， 整 个 进程 集合 将 以 每 个 超 周期 ( hyper-period) 

重复 执行 ， 超 周期 就 是 所 有 进程 周期 的 最 小 公 倍数 (LCM)。 例 如 ， 在 一 个 有 4 个 进程 的 小 系 [078 

统 中 ，4 个 进程 的 周期 分 别 是 : 24、50、73 和 101 个 时 间 单位 ， 这 时 LCM 是 4 423 800. RH lo 
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EDF 的 最 坏 情 况 响 应 时 间 需 要 考虑 在 4 423 800 个 时 间 单 位 内 的 每 一 次 启动 一 一 而 FPS 只 需要 分 
析 第 一 次 启动 ( 即 需要 考虑 的 最 长 时 间 是 101 个 时 间 单 位 )。 

虽然 要 性 虑 更 多 的 启动 ， 但 是 也 可 以 推导 出 一 个 公式 用 于 计算 每 一 个 进程 的 响应 时 间 ， 
计算 方法 同上 面 关于 FPS 的 计算 方法 类 似 。 这 里 我 们 将 不 给 出 这 个 推导 ， 有 兴趣 的 读者 可 以 参 
看 本 章 后 面 所 列 的 相关 阅读 材料 ， 这 些 书 中 有 关于 EDF 的 描述 ， 也 包括 其 他 与 EDF 调 度 相 关 
的 内 容 。 


19.7 ”最 坏 情 况 执行 时 间 、 - 


到 目前 为 止 ， 在 讨论 过 的 所 有 调度 方法 中 (循环 执行 、FPS 和 EDF)， 都 假定 每 个 进程 的 
最 坏 情况 执行 时 间 是 已 知 的 。 它 是 任 一 进程 调用 需要 的 最 大 值 。 

最 坏 情况 执行 时 间 的 估计 〈 用 C 表 示 ) 可 以 通过 测量 或 分 析 得 到 。 测 量 方面 的 问题 是 难以 
确保 最 坏 情 况 什 么 时 候 已 经 出 现 了 。 分 析 的 缺点 是 必须 有 一 个 可 用 的 处 理 器 模型 (包括 高 速 
缓存 、 管 道 、 内 存 等 待 状态 等 )。 

大 多 数 分 析 技 术 涉 及 到 两 个 不 同 的 活动 。 第 一 个 活动 将 进程 代码 分 解 为 基本 块 的 有 向 图 。 
这 些 基本 块 代表 直线 代码 (straightline code)。 分 析 的 第 二 个 活动 是 取 来 对 应 于 基本 块 的 机 器 
代码 ， 使 用 处 理 器 模型 去 估计 它 的 最 坏 情 况 执行 时 间 。 

一 旦 知道 了 所 有 基本 块 的 时 间 ， 有 向 图 就 能 被 折 僵 。 例 如 ;有 两 个 基本 块 的 简单 选择 结 
构 将 被 折 登 为 单个 的 值 〈 取 两 个 值 中 的 最 大 的 一 个 )。 循 环 用 最 大 界限 的 知识 进行 折 垂 。 

如 果 可 以 得 到 足够 的 语义 信息 ， 就 可 以 采用 更 精巧 的 图 形 简化 技术 。 关 于 这 一 点 ， 给 出 
一 个 简单 的 例子 ， 考 虑 以 下 代码 : 

for I in 1..10 loop 

if Cond then 

-- 时 间 开 销 为 100 的 基本 块 
else 

-- 时 间 开 销 为 10 的 基本 块 
enf if; 

end loop; 

当 没 有 进一步 信息 时 ， 这 个 结构 总 的 “费用 ”是 10 x 100+ ERE AER, dh 
就 是 1 005 个 时 间 单 位 。 但 是 ， 它 是 可 缩减 的 (通过 代码 的 静态 分 析 )， 条 件 cond 可 能 仅仅 最 
多 三 次 为 真 。 因 此 更 乐观 的 时 间 开销 是 375 个 时 间 单位 。 | 

通过 消除 那些 不 可 能 执行 的 路 径 ， 代 码 内 部 的 其 他 关系 可 以 减少 可 行路 径 的 数量 ， 例 如 ， 
当 条 件 语句 中 的 “if” 分 支 成 立时 ， 可 以 排除 “else” 分 支 。 采用 这 种 语义 分 析 的 技术 通常 需 
要 在 代码 中 增加 注释 。 图 形 简化 过 程 可 以 使 用 像 ILP (整数 线性 规划 ) 这 样 的 工具 来 产生 最 坏 
情况 执行 时 间 的 接近 的 估算 。 这 些 工具 也 能 对 输入 数据 给 出 建议 ， 这 些 数据 能 驱动 程序 走 那 
条 引起 这 个 估计 值 的 路 径 。 

很 明显 ， 如 果 要 分 析 一 个 进程 的 最 坏 情 况 执行 时 间 ， 进 程 的 代码 就 需要 有 一 些 限 制 。 比 
如 ， 所 有 循环 和 递归 必须 是 有 界 的 ， 否 则 就 不 可 能 脱 机 预测 代码 什么 时 候 终止 。 而 且 ， 由 编 
译 器 产生 的 代码 也 必须 是 可 分 析 的 。 

发 坏 情 况 执 行 时 间 分 析 面 临 的 最 大 挑战 来 自 使 用 有 片 式 高 速 缓存、 管道 和 分 支 预 测 器 等 
的 现代 处 理 器 。 所 有 这 些 特性 部 是 为 了 威 少 平均 执行 时 间 ， 但 是 它们 对 最 坏 情况 行为 的 影响 
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可 能 是 难以 预测 的 。 如 果 忽 略 这 些 特性 ， 估 算 结果 可 能 是 非常 悲观 的 ， 但 是 要 包括 它们 又 总 
不 是 一 件 简单 的 事 。 办 法 之 一 是 假设 非 抢占 执行 ， 那么 ， 所 有 来 自 高 速 缓 存 等 特性 的 好 处 都 
可 以 在 估算 中 考虑 。 在 后 面 的 分 析 阶 段 ， 再 来 计算 实际 抢占 的 数目 ， 并 对 高 速 缓存 未 命中 和 
管道 重 填 这 样 的 情况 进行 惩罚 。 

为 现代 处 理 器 的 时 序 性 行为 建立 详细 模型 不 是 一 件 很 简单 的 事 ， 这 也 许 需要 一 些 可 能 很 
难得 到 的 专 有 信息 。 对 于 实时 系统 ， 要 么 采用 更 简单 (但 功能 不 强 ) 的 处 理 器 体系 结构 ， 要 
么 在 测量 工作 上 作出 更 多 努力 。 考 虑 到 所 有 高 完整 性 的 实时 系统 将 受制 于 大 量 的 测试 ， 对 代 
码 单元 (基本 块 ) 用 测试 和 测量 ， 而 对 完整 的 部 件 用 路 径 分 析 法 ， 将 这 两 种 方法 结合 起 来 使 
用 ， 对 当今 的 技术 似乎 是 合适 的 。 


13.8 偶发 和 非 周期 进程 


为 了 扩充 13.1 节 介绍 的 简单 进程 模型 ， 让 其 包含 偶发 (和 非 周期 ) 进程 需求 ， 值 7 被 解释 
为 最 小 (平均 ) 到 达 时 间 间 隔 (minimum(or average) inter-arrival interval) (Audsley 等 ,1993a ) 。 
7 为 20ms 的 一 个 偶发 进程 保证 每 20ms 到 达 次 数 不 会 超过 1 次 。 实 际 上 它 的 到 达 频 率 常 常 远 小 于 
每 20ms 一 次 ， 但 是 响应 时 间 测 试 将 保证 能 被 支持 的 最 大 比率 (如果 通过 了 测试 )。 

把 偶发 进程 包含 进来 的 另 一 个 需求 涉及 到 时 限 的 定义 。 简 单 模型 假设 D =T。 对 于 偶发 进 
程 ， 这 是 不 合理 的 。 通 常 ， 偶 发 进程 被 用 于 封装 错误 处 理 例 程 或 去 响应 告警 信号 。 系 统 的 故 
障 模 型 可 能 说 错误 处 理 例 程 将 很 少 被 调用 一 一 但 是 当 调用 它 时 ， 它 是 紧急 的 ， 因 此 它 有 一 个 
很 短 的 时 限 。 因 此 我 们 的 模型 必须 区 分 D 和 T， 并 且 人 允许 D<T。 的 确 ， 对 于 许多 偶发 进程 ， 使 
应 用 能 够 定义 小 于 周期 的 时 限 值 是 很 有 用 的 。 

再 回头 审视 一 下 13.5 节 描述 的 关于 固定 优先 级 调度 的 响应 时 间 算 法 ， 可 以 看 出 : 

。 只 要 把 停止 标准 改 为 w?'' > D;， 对 于 D<7 的 情况 该 算法 依然 工作 得 很 好 。 

。 对 任何 优先 级 排序 ， 它 工作 得 很 好 一 一 hp(i) 总 是 给 出 更 高 优先 级 进程 的 集合 。 

虽然 一 些 优先 级 排序 优 于 另外 的 一 些 ， 但 是 对 于 给 定 的 优先 级 排序 ， 这 个 测试 都 能 提供 
最 坏 情 况 响应 时 间 。 

在 13.9 节 ， 将 定义 (并 证 明 ) D<7T 的 最 优优 先 级 排序 。 稍 后 的 小 节 将 为 D<T、D = 7 或 
D>7T 的 一 般 情况 研究 一 个 扩充 算法 和 最 优优 先 级 排序 。 

13.8.1 硬 进程 和 软 进程 

对 于 偶发 进程 ， 可 以 定义 平均 到 达 率 和 最 大 到 达 率 。 遗 憾 的 是 ， 在 许多 情况 下， 最 坏 情 
况 的 值 远 远 高 于 平均 值 。 中 断 常常 大 量 到 达 ， 不 正常 的 传感器 输入 可 能 导致 显著 的 额外 计算 。 
这 时 用 最 坏 情 况 下 的 数值 测量 可 调度 性 可 能 导致 在 实际 运行 系统 中 观察 到 非常 低 的 处 理 器 利 
用 率 。 作 为 最 低 需 求 的 指南 ， 总 是 应 该 遵守 下 列 两 条 规则 : 

* 规则 1 一 一 按照 平均 执行 时 间 和 平均 到 达 率 ， 所 有 进程 应 该 是 可 调度 的 。 

“规则 2 一 一 按照 所 有 进程 (包括 软 进程 ) 的 最 坏 情况 执行 时 间 和 最 坏 情 况 到 达 率 ， 所 有 

硬 实时 进程 应 该 是 可 调度 的 。 

规则 1 的 一 个 推论 是 可 能 存在 一 些 不 可 能 满足 所 有 当前 时 限 的 情形 。 这 种 状态 被 称 为 暂时 
超载 (transient overload )， 但 是 ， 规 则 2 确保 没有 硬 实 时 进程 错过 它 的 时 限 。 如 果 规则 2 引起 
了 “正常 执行 ”无 法 接受 的 低 利用 率 ， 应 该 直接 采取 的 动作 是 试 着 减少 最 坏 情况 执行 时 间 
(RIRE). 
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13.8.2 非 周 期 进程 和 固定 优先 级 服务 器 

在 一 个 基于 优先 级 的 方案 中 ， 调 度 非 周期 进程 的 一 个 简单 方法 是 使 这 些 进程 运行 的 优先 级 
低 于 硬 进 程 的 优先 级 。 这 样 ， 非 周期 进程 作为 后 台 活 动 运行 ， 因 此 ， 在 抢占 式 系统 中 ， 它 不 
能 窃 用 硬 进程 的 资源 。 虽 然 这 是 一 个 安全 的 方案 ， 但 是 它 没有 对 软 进 程 提供 足够 的 支持 一 一 如 
果 软 进程 只 作为 后 台 进 程 运行 ， 它 们 常常 错过 它们 的 时 限 。 为 了 改善 软 进程 的 这 种 状况 ， 可 
以 利用 服务 器 。 服 务 器 保护 硬 进 程 需要 的 资源 ， 但 是 以 另外 的 方式 使 软 进程 尽 可 能 快 地 运行 。 

自从 服务 器 方法 在 1987 年 被 首次 提出 以 来 已 经 定义 了 许多 种 方法 。 这 里 仅 考虑 两 种 :可 延 
期 服务 器 (DS，Deferrable Server) 和 偶发 服务 器 (SS, Sporadic Server) (Lehoczky 等 ，1987)。 

在 DS 中 ,采用 一 种 分 析 方 法 (例如 ， 使 用 响应 时 间 方 法 )， 可 以 引进 一 个 新 的 、 在 最 高 优 
先 级 的 进程 了”。 这 个 进程 ， 也 就 是 服务 器 ， 有 一 个 周期 7, 和 一 个 容量 C,。 选 择 这 些 值 使 系统 中 
的 所 有 硬 进程 仍然 是 可 调度 的 ， 即 使 服务 器 以 周期 7 和 执行 时 间 C, 周 期 性 地 执行 也 是 如 此 。 在 
运行 时 ， 当 一 个 非 周期 进程 到 达 时 ， 如 果 服 务 器 有 可 用 容量 ， 它 就 立即 开始 执行 ， 直 到 它 完 
成 或 服务 器 容量 耗 尽 。 在 后 一 种 情况 下 ， 非 周期 进程 被 挂 起 (或 转换 为 后 台 优 先 级 )。 在 DS 
模型 中 ， 服 务 器 容量 每 7. 个 时 间 单 位 被 补充 一 次 。 

SS 的 操作 不 同 于 DS 之 处 在 于 它 的 容量 补充 策略 。 在 SS 中 ， 如 果 一 个 进程 在 时 间 ! 到 达 ， 
并 要 求 使 用 容量 c<， 那 么 服务 器 在 时 间 : 后 的 T, 个 时 间 单 位 补充 容量 c<。 通 常 ，SS 能 提供 比 DS 高 
的 容量 ， 但 是 它 增 加 了 实现 开销 。13.14.2 节 描述 了 POSIX 如 何 支持 SS ，DS 和 SS 可 以 用 响应 时 
间 分 析 法 来 分 析 (Bernat and Burns, 1999), 

因为 所 有 服务 器 限制 了 非 周期 软 进程 可 用 的 容量 ， 它们 也 能 用 于 保证 偶发 进程 不 会 执行 
得 比 预期 的 更 频繁 。 一 个 时 间 间 隔 为 T 和 最 坏 情况 执行 时 间 为 C 的 偶发 进程 ， 如 果 它 不 直接 实 
现 为 一 个 进程 ， 而 是 经 由 服务 器 实现 ， 该 服务 器 的 T,=7,、C,=C,， 那 么 这 个 偶发 进程 对 较 低 
优先 级 进程 的 影响 (干扰) 就 被 限定 了 ， 即 使 偶发 进程 到 达 得 过 快 (这 将 是 一 种 错误 状态 ) 
也 是 这 样 。 

所 有 服务 器 (DS、SS 和 其 他 ) 都 可 以 被 描述 为 带宽 预 留 (bandwidth preserving )， 因 为 
它们 试图 u 

"使 CPU 资源 对 非 周期 进程 立即 可 用 (如 果 有 容量 ) ; 

* 如 果 当 前 没有 非 周期 进程 ， 尽 可 能 长 地 保留 容量 (通过 允许 硬 进程 执行 )。 

男 一 个 常常 比 服务 器 技术 性 能 更 好 的 带宽 预 留 方案 是 双重 优先 级 调度 (dual-priority 
scheduling) (Davis and Wellings，1995)。 这 里 ， 优 先 级 的 范围 被 分 为 三 档 : 高 、 中 、 低 。 所 
有 非 周期 进程 运行 在 中 优先 级 。 硬 进程 ， 当 它们 启动 时 ， 运 行 在 低 优先 级 ， 但 是 当 它 们 要 满 
怎 时 限时 ， 它 们 的 优先 级 被 及 时 提升 到 顶层 。 因 此 在 执行 的 第 一 阶段 ， 它 们 将 为 非 周期 活动 
让 路 (但 如 果 没 有 这 样 的 活动 ， 它 们 就 执行 )。 在 第 二 阶段 它们 将 转 到 较 高 优先 级 ， 优 先 于 非 
周期 进程 运行 。 在 高 优先 级 级 别 中 ， 优 先 级 根据 时 限 单调 方法 (SAFE) 来 分 配 。 将 优先 
级 提升 到 这 一 档 发 生 在 时 间 D - R。 实 现 双重 优先 调度 方案 需要 使 用 动态 优先 级 方法 。 

13.8.3 非 周 期 进程 和 EDF 服 务 器 


随 着 转 定 优先 级 系统 的 服务 器 技术 的 发 展 ， 大 多 数 常见 方法 已 经 在 动态 EDF 系 统 的 背 县 


© oc DAR. EO 2E AE a AE, 但 是 如 果 给 服务 器 的 优先 级 高 于 所 有 硬 进 程 的 优先 级 ， 描述 就 更 简 
观 一 些 。 
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下 被 重新 解释 。 例 如 ， 有 一 种 动态 偶发 服务 器 (Spuri and Buttazzo，1994)。 尽 管 静态 系统 需 
要 优先 级 分 配 (在 运行 前 进行 ), 但 是 动态 系统 需要 在 它 每 次 运行 时 都 计算 时 限 。 从 本 质 上 说 ， 
当 ( 且 仅 当 ) 需要 为 一 个 重要 的 非 周期 进程 服务 、 而 服务 器 又 有 足够 容量 了 时， 运行 时 算法 分 
配给 服务 器 以 最 短 的 当前 时 限 。 一 旦 服务 器 的 容量 耗 尽 ， 它 就 被 挂 起 ， 直 到 被 补充 容量 。 

有 一 个 不 同方 案 ， 它 同 FPS 的 双重 优先 方案 有 许多 类 似 之 处 ， 该 方案 就 是 最 早 时 限 最 后 
(EDL, earliest deadline last) 服务 器 ，EDL 由 Chetto 和 Chetto (1989) 定义 。 这 里 ， 硬 进程 被 
从 在 EDF 下 执行 (如 果 没 有 非 周 期 进程 ) 切换 到 在 EDL 下 执行 (如果 有 非 周 期 进程 )。EDL 方 
案 保证 每 个 硬 进程 满足 它 的 时 限 ， 但 是 尽 可 能 长 地 推迟 进程 的 启动 。 因 此 ， 非 周期 进程 可 以 
立即 使 用 服务 器 的 容量 (如 果 有 多 余 的 容量 )。 当 硬 进程 的 优先 级 被 提升 后 ， 它 将 抢占 软 进程 ， 
并 刚好 在 它 的 时 限 前 运行 完成 。 


139 D<T 的 进程 系统 


上 面 关 于 偶发 进程 的 讨论 中 曾 论证 说 ， 通 常 定义 一 个 进程 的 时 限 小 于 它 的 到 达 时 间 间 隔 
(或 周期 ) 一 定 是 可 能 的 。 前 面 也 曾 指出 当 D= 7 时 ， 对 于 固定 优先 级 方案 ， 速 率 单调 优先 级 
排序 是 最 优 的 。Leung 和 Whitehead (1982) 指出 ， 当 D<7 时 ， 也 能 定义 一 个 类 似 的 公式 一 一 
时 限 单调 优先 级 排序 (deadline monotonic priority ordering，DMPO )。 在 这 里 ， 进 程 的 固定 优 
先 级 同 它 的 时 限 成 反比 :( Di< Dj 一 Pi> Pj))。 表 13-11 对 一 个 简单 进程 集合 给 出 了 合适 的 优先 
级 分 配 。 它 也 包含 了 最 坏 情 况 响应 时 间 一 一 用 13.5 节 的 算法 计算 。 注 意 ， 速 率 单调 优先 级 排序 





调度 不 了 这 些 进程 。 
表 13-11 DMPO 的 进程 集合 示例 
进 程 周期 ,7 NE. D 计算 时 间 ，C 优先 级 ，P 响应 时 间 ，R 
a 20 5 3 4 3 
b 15 7 3 3 6 
c 10 10 4 2 10 
d 20 20 3 1 20 


————————————————————————M———À— 
在 下 面 的 子 小 节 中 ， 将 要 证 明 DMPO 的 最 优 性 。 有 了 这 个 结果 和 这 种 进程 模型 的 响应 时 
间 分 析 的 直接 适应 性 ， 我 们 可 以 清楚 地 看 到 ， 固 定 优先 级 调度 能 充分 处 理 这 个 更 一 般 的 调度 
需求 集合 。 而 EDF 调 度 不 能 做 到 这 一 点 。 一 旦 进程 的 D<T， 就 不 能 使 用 简单 的 利用 率 测试 
(总 利用 率 小 于 1)。 此 外 ， 在 13.6 节 讨论 过 的 响应 时 间 分 析 对 于 EDF 要 比 对 于 FPS 复 杂 得 多 。 
说 了 EDF 的 这 么 多 困难 ， 但 是 请 记 住 ，EDF 是 更 有 效 的 调度 方案 。 因 此 ， 任 何 通过 FPS 可 
调度 性 测试 的 进程 ， 如 果 在 EDF 下 执行 ， 将 总 是 满足 它 的 时 间 需 求 。FPS 的 充分 必要 测试 也 能 
看 作 是 EDF 的 充分 测试 。 
证 明 DMPO 是 最 优 的 


如 果 任 一 进程 集合 Q 用 优先 级 方案 WwW 是 可 调度 的 ， 用 时 限 单 调 优先 排序 (DMPO) 也 是 可 
调度 的 ， 那 么 DMPO 就 是 最 优 的 。DMPO 最 优 性 的 证 明 包 括 Q 的 优先 级 (由 方案 W 分 配 优先 级 ) 
的 变换 ， 直 到 优先 级 按照 DMPO 排 序 。 变 换 的 每 一 步 都 保持 可 调度 性 。 

令 ; 和 j 是 Q 中 的 两 个 进程 (它们 的 优先 级 相 邻 ) ， 且 在 方案 W 下 有 : Pi>P 和 Di>Dj)。 定 义 
方案 W'， 除 了 进程 i、j 相 互 交换 、W' 的 其 他 方面 同 W 是 一 样 的 。 考 虚 Q 在 方案 W' 下 的 可 调 
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度 性 : 

。 所 有 优先 级 高 于 PP 的 进程 不 会 受到 已 的 优先 级 变 低 的 影响 。 

。 所 有 优先 级 低 于 Pj 的 进程 不 会 受到 影响 。 因 为 同 交 换 前 一 样 ， 它 们 都 会 受到 来 自 i、j 的 

干扰 。 

。 进 程 在 方案 W 下 是 可 调度 的 ， 现 在 它 有 一 个 更 高 的 优先 级 ,会 受 较 少 的 干扰 、 因 此 ， 

在 W' 下 它 必然 是 可 调度 的 。 

现在 剩 下 的 问题 是 需要 证 明 : 进程 的 优先 级 降低 了 ， 但 它 仍 然 是 可 调度 的 。 

在 方案 W 下 ，R,< D;，Dj< Di 有 LD;< 7T:， 因 此 ， 在 进程 执行 期 间 ， 进 程 仅 仅 受 到 一 次 干扰 。 

一 旦 这 两 个 进程 被 交换 ， 进 程 ;的 新 响应 时 间 等 于 进程 ;的 旧 响 应 时 间 。 这 是 真 的 ， 因 为 在 
两 种 优先 级 排序 方法 下 ， 两 进程 总 的 计算 时 间 为 Ci+ C;， 它 们 运行 完成 时 会 受到 来 自 更 高 优先 
级 进程 同样 程度 的 干扰 。 进 程 j 在 RR 期 间 仅 启动 一 次 ， 因 此 ，、 在 方案 W' 下 进程 :执行 期 间 仅 受 
到 ;的 一 次 干扰 。 可 以 得 出 : 

Ri-Rj&Dj;«D, 

因此 可 以 得 出 结论 ， 进 程 在 交换 之 后 是 可 调度 的 。 

现在 ， 通 过 再 选择 两 个 没有 按 DMPO 排 序 的 进程 ， 并 将 它们 交换 ， 优 先 方案 W' 就 可 以 变 
换 到 W "。 每 一 次 这 种 交换 保持 了 可 调度 性 。 最 后 没有 进程 需要 交换 ， 这 时 ， 排 序 就 已 经 是 
DMPO 所 需要 的 排序 ， 进 程 集 也 仍然 是 可 调度 的 。 因 此 ，DMPO 是 最 优 的 。 

注意 ， 对 于 D=7 的 特殊 情况 ， 上 面 的 证 明 也 可 用 于 证 明 下 述 结论 : 在 这 种 情况 下 速率 单 
调 排 序 也 是 最 优 的 。 


13.10 进程 交互 和 阻塞 


在 13.1 贡 描述 的 系统 模型 中 , 包含 有 一 个 过 分 简化 的 假设 , 那 就 是 需要 进程 是 彼此 独立 的 。 
这 明显 不 合理 ， 因 为 在 所 有 有 意义 的 应 用 中 都 需要 进程 交互 。 在 第 8 章 和 第 9 章 已 经 指出 ， 通 
过 对 共享 数据 的 某 种 形式 的 保护 〈 例 如， 信号 量 、 管 程 或 保护 对 象 ) 或 者 是 直接 交互 (使 用 
某 种 形式 的 会 合 ) ， 进 程 可 以 安全 地 交互 。 所 有 这 些 语言 特征 导致 一 个 进程 可 能 被 挂 起 ， 直 到 
将 来 一 些 必需 的 事件 发 生 (如 : 等 待 获 得 一 个 信号 量 的 锁 ， 或 等 待 进入 一 个 管 程 ， 或 直到 某 
个 别 的 进程 准备 接受 一 个 会 合 请 求 )。 通 常 ， 同 步 通信 导致 更 悲观 的 分 析 ， 因 为 当 进程 执行 之 
间 有 许多 依赖 关系 时 ， 更 难以 定义 真实 的 最 坏 情 况 。 因 此 ， 当 进程 通过 受 保护 的 共享 资源 交 
换 数 据 进行 异步 的 通信 与 分 析 相 关 时 ， 下 面 的 分 析 就 更 精确 。 以 下 两 节 的 主要 内 容 是 关于 固 
定 优先 级 调度 。 在 讨论 结束 时 ， 将 考虑 这 个 结果 对 EDF 调 度 的 适用 性 。 

如 果 一 个 进程 被 挂 起 等 待 一 个 较 低 优先 级 进程 完成 一 些 必需 的 计算 ， 那 么 这 个 优先 级 模 
型 在 某 种 意义 上 就 被 破坏 了 。 在 理想 的 情况 下 ， 这 种 优先 级 反 转 (Priority inversion) (Lauer 
and Satterwaite, 1979) ( 即 高 优先 级 进程 不 得 不 等 待 较 低 优 先 级 的 进程 ) 不 应 当 存在 。 然 而 ， 
通常 它 不 可 能 完全 消除 。 但 是 ， 它 的 负面 影响 能 够 被 最 小 化 。 如 果 一 个 进程 等 待 一 个 较 低 优 
先 级 进程 ， 称 为 它 被 阻塞 (blocked) ， 为 了 测试 可 调度 性 ， 阻塞 必须 是 有 界 的 和 可 测量 的 ， 
它 也 应 该 是 很 小 的 。 

为 了 说 明 一 个 优先 级 反 转 的 极端 例子 ， 考 虑 4 个 周期 进程 的 执行 : a、5、c 和 d。 假设 已 经 
根据 时 限 单调 方案 给 它们 分 配 了 优先 级 ， 进 程 d 的 优先 级 最 高 ， 而 进程 4 的 优先 级 最 低 。 进 一 
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步 假设 进程 4 和 a (以 及 进程 4 和 c) 共享 临界 段 (资源 )， 临 界 段 用 Q (MV) 表示 ， 并 用 互 斥 
加 以 保护 。 表 13-12 给 出 了 4 个 进程 的 细节 和 它们 的 执行 序列 ， 在 表 中 ，E 代 表 一 个 滴答 的 执行 
Wi], Q (RV) 代表 访问 Q (或 V) 临界 段 的 一 个 滴答 的 执行 时 间 。 因 此 ， 进 程 c 执 行 了 4 个 
滴答 ， 中 间 的 两 个 滴答 访问 临界 段 V。 


表 13-12 执行 序列 





xt f È k 级 执行 序列 启动 时 间 
a 1 EQQQQE 0 
b 2 EE 2 
c 3 EVVE 2 
d 4 EEQVE 4 


图 13-6 说 明了 表 中 给 出 的 各 进程 开始 时 间 的 执行 序列 。 进 程 4 首先 启动 ， 它 执行 并 锁 住 临 
界 段 Q。 然 后 它 被 进程 c 抢 占 ， 进 程 c 执 行 一 个 滴答 ， 锁 住 V， 然 后 被 进程 4 抢占 。 这 个 较 高 优 
先 级 的 进程 开始 执行 ， 直 到 它 也 希望 锁 住 临界 段 Q， 这 时 它 必 须 被 挂 起 (因为 Q 已 被 进程 < 锁 
住 )。 在 这 时 ， 进 程 重 新 得 到 处 理 器 并 继续 执行 。 一 旦 它 终止 了 ， 进 程 5 将 开始 执行 。 仅 当 进 
程 b 已 经 完成 时 ， 进 程 a 才能 再 次 执行 ， 它 将 完成 对 Q 的 使 用 ， 并 允许 4d 继续 执 行 完 成 。 在 这 种 
情况 下 ， 进 程 d 在 时 间 16 完 成 ， 因 此 它 的 响应 时 间 为 12; 进程 < 的 响应 时 间 为 6，b 为 8，a 为 17。 
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图 13-6 优先 级 反 转 的 例子 


审视 图 13-6 可 以 看 出 ， 进 程 d 遭 受 了 相当 大 的 优先 级 反 转 。 它 不 仅 被 进程 4 阻塞 ， 也 被 b、 
阻塞。 一些 阻塞 是 不 可 避免 的 ， 如 果 要 维护 临界 段 (以 及 共享 数据 ) 的 完整 性 ， 那 么 进程 
必须 在 d 之 前 执行 〈( 当 a 有 锁 时 )。 但 是 进程 4 被 进程 c 和 2 阻塞 就 是 不 应 该 的 ， 并 且 会 严重 影响 
系统 的 可 调度 性 (因为 对 进程 4 的 阻塞 过 多 )。 

这 种 优先 级 反 转 是 纯 固定 优先 级 方案 的 结果 。 限 制 这 种 影响 的 一 种 方法 是 使 用 优先 级 继 
承 (priority inheritance) (Cornhill 等 ，1987)。 在 优先 级 继承 中 ,进程 的 优先 级 不 再 是 静态 的 ， 


480 
2 
487 


A 





382 #13 # 


如 果 进 程 p 被 挂 起 ， 等 待 进程 q 进 行 某 种 计算 ， 那么 q 的 优先 级 变 为 等 于 p 的 优先 级 (如 果 它 的 
优先 级 开始 时 比 p 的 低 )。 在 上 面 给 出 的 例子 中 ， 进 程 a 将 被 改变 为 进程 4 的 优先 级 ， 因 此 它 将 
先 于 进程 ?7、c 执 行 。 图 13-7 显 示 了 这 种 情况 。 注 意 ， 这 个 算法 的 一 个 后 果 是 ， 现 在 进程 b 将 经 
受阻 塞 ， 即 使 它 不 使 用 共享 对 象 。 也 应 注意 到 现在 进程 4 被 阻塞 两 次 ， 但 是 它 的 响应 时 间 已 经 
减少 到 9。 














图 13-7 优先 级 继承 的 例子 


在 这 种 简单 继承 规则 中 ， 一 个 进程 的 优先 级 是 它 自己 的 默认 优先 级 和 在 那 一 时 间 依赖 于 
它 的 所 有 进程 的 优先 级 这 两 者 中 的 最 大 值 。 

通常 ， 优 先 级 继承 不 会 被 限制 在 单 步 中 。 如 果 进 程 d 正 在 等 待 进程 c， 但 是 c 不 能 运行 ， 因 
为 它 正在 等 待 进程 >， 那么 b 将 会 同 c 一 样 被 分 配 d 的 优先 级 。 运 行 时 分 派 器 的 隐 含 含义 是 一 个 
进程 的 优先 级 常常 改变 ， 所 以 ， 在 需要 进行 分 派 时 选择 一 个 合适 的 进程 去 运行 (或 使 它 可 运 
行 )， 可 能 比 尝试 管理 一 个 按 优先 级 排序 的 进程 队列 更 好 。 

在 一 个 实时 语言 的 设计 中 ， 优 先 级 继承 似乎 是 极为 重要 的 。 然 而 ， 为 了 成 为 最 有 效 的 模 
型 ， 并 发 模型 应 该 有 一 个 特殊 的 形式 。 使 用 标准 的 信号 量 和 条 件 变 量 的 时 候 ， 在 进程 变 为 挂 
起 这 一 动作 和 反 转 这 一 动作 的 进程 身份 之 间 没 有 直接 联系 。 因 此 ， 继 承 不 易 实 现 。 使 用 同步 
消息 传递 、 间 接 指名 (例如 ， 在 occam2 中 使 用 通道 ) 也 许 也 难以 识别 一 个 正在 被 其 他 进程 等 
待 的 进程 的 身份 。 为 了 使 继承 的 效果 最 大 ， 直 接 对 称 的 指名 会 是 最 合适 的 。 

Sha (1990) 指出 ， 使 用 一 个 优先 级 继承 协议 ， 一 个 进程 可 能 被 较 低 优先 级 进程 阻塞 的 
次 数 是 有 限 的 。 如 果 一 个 进程 有 m 个 可 能 导致 它 阻塞 的 临界 段 ， 那 么 它 可 能 被 阻塞 的 最 多 次 数 
就 是 m。 也 就 是 说 ， 在 最 坏 情况 下 ， 每 个 临界 段 将 被 较 低 优先 级 的 进程 锁 住 (图 13-7 中 的 情况 
就 是 这 样 )。 如 果 仅 有 n(n<m) 个 较 低 优先 级 进程 ， 那 么 ， 这 个 最 多 次 数 能 进一步 缩减 ( 减 
Xn). 

如 果 B 是 进程 所 能 容许 的 最 多 阻塞 次 数 ， 那 么 ， 对 于 这 个 简单 的 优先 级 继承 模型 ， 可 以 
容易 地 找到 一 个 计算 B 的 公式 。 令 K 是 临界 段 (资源 ) 的 数目 。 式 (13-6) 提供 了 B 的 上 限 。 


B= Susagelk, i)C(k) (13-6) 


其 中 usage 是 一 个 0/1 函 数 : usage(k，i)=1， 如 果 资 源 k 至 少 被 一 个 优先 级 低 于 P, 的 进程 使 用 ， 
且 至 少 有 一 个 优先 级 高 于 或 等 于 P, 的 进程 ; 否则 它 的 值 为 0。C(k) 是 关于 人 临界 段 在 最 坏 情 况 
下 的 执行 时 间 。 
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这 个 算法 对 这 个 继承 协议 不 是 最 优 的 ， 只 是 用 于 说 明 计 算 8 时 要 考虑 的 因素 。 在 13.11 节 ， 
将 描述 一 个 更 好 的 继承 协议 ， 也 将 给 出 计算 8 的 改进 公式 。 
响应 时 间 计 算 和 阻塞 
假设 已 经 得 到 了 2 的 值 ， 就 能 修改 响应 时 间 算法 ， 把 阻塞 因素 加 进去 2 : 
R=C+Bt+l 
也 就 是 ， 


i 


C, 13-7) 
7 ( 


d 








R=C+B+ 5 
当然 这 也 能 通过 构造 一 个 递 推 关系 来 求解 : 


w=C+B+ Y 
T, 


Jenpt 


(13-8) 


j 








注意 ， 现 在 这 个 公式 也 许 是 悲观 的 〈 即 不 一 定 是 充分 必要 条 件 )。 一 个 进程 是 否 实际 容许 
它 的 最 多 阻塞 次 数 将 依赖 于 进程 所 处 环境 。 例 如 ， 如 果 所 有 进程 是 周期 的 ， 且 都 有 同样 的 周 
期 ， 那 么 不 会 发 生 抢 占 ， 因 此 也 不 会 发 生 优先 级 反 转 。 但 是 ， 通 常 公式 (13-7) 代表 了 包含 
有 合作 进程 的 实时 系统 的 有 效 调度 测试 。 


13.11 高 限 优先 级 协议 


标准 的 继承 协议 给 出 了 一 个 高 优先 级 进程 可 能 遇 到 的 阻塞 次 数 的 上 限 ， 但 这 个 上 限 可 能 
仍 会 导致 不 可 接受 的 最 坏 情 况 计 算 。 这 又 混合 进 了 阻塞 链 生 长 (传递 阻塞 ) 的 可 能 性 ， 也 就 
是 ， 进 程 c 被 进程 bp 阻塞 ， 市 bp 被 < 阻塞 ， 等 等 。 因 为 共享 数据 是 系统 资源 ， 从 资源 管理 的 角度 ， 
不 仅 应 该 使 阻塞 最 小 化 ， 而 且 应 该 消除 诸如 死 锁 之 类 的 失效 状态 。 高 限 优先 级 协议 (ceiling 
priority protocols) 解决 所 有 这 些 问题 (Sha 等 ，1990 ) 。 本 章 将 考虑 其 中 两 个 协议 : 原始 高 限 
优先 级 协议 (original ceiling priority protocols) 和 立即 高 限 优 先 级 协议 (immediate ceiling 
priority protocols )。 首 先 描述 原始 协议 (OCPP)， 接 着 描述 更 简单 一 点 的 立即 协议 (ICPP). 
当 这 两 个 协议 中 的 任何 一 个 用 于 单 处 理 器 系统 时 : 

* 一 个 高 优先 级 进程 在 其 执行 期 间 最 多 能 被 较 低 优先 级 进程 阻塞 一 次 。 

* 死 锁 被 预防 了 。 

。 传 递 阻 塞 被 预防 了 。 

“资源 的 互 斥 访问 得 到 保证 (被 协议 自身 保证 )。 

高 限 协 议 可 能 最 好 用 临界 段 保护 的 资源 来 描述 。 本 质 上 ， 这 种 协议 保证 如 果 一 个 资源 被 
锁 住 ， 假 如 被 进程 < 锁 住 ， 可 能 导致 一 个 更 高 优先 级 进程 (b) 被 阻塞 ， 那 么 不 允许 别 的 进程 
(除了 进程 a) 锁 住 其 他 可 能 阻塞 进程 /的 资源 。 因 此 ， 一 个 进程 试图 锁 住 一 个 先前 已 上 锁 的 资 
源 ， 以 及 当 上 锁 可 能 导致 更 高 优先 级 进程 的 多 重 阻 塞 时 ， 该 进程 都 被 延迟 。 

原始 的 协议 采取 以 下 形式 : 

1) 每 个 进程 分 配 有 一 个 静态 的 默认 优先 级 (也许 是 由 时 限 单调 方案 分 配 的 )。 


O 阻塞 也 能 加 入 到 基于 利用 率 的 测试 ， 但 是 现在 每 个 进程 必须 被 单独 地 考虑 。 
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2) 每 个 资源 有 一 个 确定 的 静态 高 限 值 ， 这 个 值 是 使 用 它 的 进程 的 最 高 优先 级 。 

3) 一 个 进程 有 一 个 动态 优先 级 ， 它 是 进程 自 己 的 静态 优先 级 和 任何 它 继承 的 优先 级 中 的 
最 大 值 。 它 继承 的 优先 级 来 自 于 它 阻 塞 的 较 高 优先 级 进程 。 

4) 只 有 在 一 个 进程 的 动态 优先 级 高 于 任何 当前 锁 住 资 源 的 高 限 值 的 时 候 (除了 它 自己 锁 
住 的 资源 )， 该 进程 才能 锁 住 一 个 资源 。 

允许 锁 住 第 一 个 系统 资源 。 该 协议 的 效果 是 保证 : 仅 当 不 存在 使 用 两 个 资源 的 更 高 优先 
级 进程 ， 第 二 个 资源 才能 被 锁 住 。 因 此 ， 一 个 进程 能 被 阻塞 的 最 长 时 间 等 于 被 较 高 优先 级 进 
程 访问 的 任何 较 低 优先 级 进程 中 的 最 长 临界 段 的 执行 时 间 ， 于 是 ， 式 (13-6) 变 为 : 


B, = max usage(k, i)C(k) (13-9) 


高 限 协议 的 好 处 是 高 优先 级 进程 只 能 被 较 低 优先 级 进程 阻塞 一 次 (每 次 激活 时 )。 这 个 结果 的 
代价 是 更 多 的 进程 将 经 历 这 种 阻塞 。 

不 能 通过 一 个 例子 来 说 明 这 个 算法 的 所 有 特性 ， 但 是 图 13-8 显 示 的 执行 序列 很 好 地 说 明 
了 算法 如 何 工作 ， 并 提供 了 同 前 面 方法 的 比较 (该 图 说 明 的 是 图 13-7 和 13-6 所 用 的 同一 进程 
序列 )。 
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图 13-8 优先 级 继承 的 例子 -一 OCPP 


在 图 13-8 中 ， 进 程 4 再 次 锁 住 第 一 个 临界 段 ， 因 为 没有 其 他 资源 已 经 被 锁 住 。 它 又 被 进程 
< 抢占 ， 但 是 现在 试图 锁 住 第 二 个 临界 段 V 没 有 成 功 ， 因 为 它 的 优先 级 (3) 不 高 于 当前 的 高 
PR (高 限 是 4， 因 为 Q 被 锁 住 并 被 进程 < 使 用 )。 在 时 间 3; 2 阻塞 c, 因此 a 以 其 优先 级 3 运行 ， 
因而 阻塞 2。 更 高 优先 级 进程 d 在 时 间 4 抢占 a， 但 是 随后 当 它 试图 访问 Q 时 就 被 阻塞 了 。 因 此 za 
将 继续 执行 (用 优先 级 4)， 直 到 它 释 放 Q 上 的 锁 ， 且 它 的 优先 级 降 为 1。 现 在 ，d 能 继续 运行 
直到 它 完 成 (响应 时 间 为 7)。 i 

高 限 优先 级 协议 保证 一 个 进程 在 每 次 调用 期 间 仅 被 阻塞 一 次 。 但 是 ， 图 13-8 显 示 进 程 b 
(还 有 c) 遭受 了 两 次 阻塞 。 实 际 情况 是 单个 的 阻塞 被 进程 4 的 抢占 分 为 两 部 分 。 式 (13-9) B 
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定 ， 所 有 进程 (除了 进程 4) 将 遭受 最 长 为 4 的 单个 阻塞 。 图 13-8 说 明 ， 对 于 这 个 特定 的 执行 
序列 ， 进 程 c 和 进程 4 实际 遭受 一 个 长 为 3 的 阻塞 ， 进 程 4 遭 受 一 个 长 仅 为 2 的 阻塞 。 
13.11.1 立即 高 限 优先 级 协议 

立即 高 限 优先 级 算法 (CPP) 采取 一 个 更 直接 的 方法 ， 当 它 一 旦 锁 住 一 个 资源 ， 它 就 立 
即 提升 进程 的 优先 级 (而 不 是 只 在 它 实 际 阻塞 一 个 较 高 优先 级 进程 时 )。 该 协议 定义 如 下 : 

。 每 个 进程 分 配 有 一 个 静态 的 默认 优先 级 (也许 是 由 时 限 单调 方案 分 配 的 )。 

。 每 个 资源 有 一 个 确定 的 静态 高 限 值 ， 这 个 值 是 使 用 它 的 进程 的 最 高 优先 级 。 

。 一 个 进程 有 一 个 动态 优先 级 ， 它 是 进程 自己 的 静态 优先 级 和 它 锁 住 的 任何 资源 的 高 限 值 

中 的 最 大 值 。 

作为 最 后 这 条 规则 的 推论 ， 一 个 进程 将 仅 在 它 刚 开始 执行 时 遭受 阻塞 :二 旦 这 个 进程 实 
际 开 始 执行 ， 它 所 需要 的 所 有 资源 必须 都 是 空闲 的 ; 如 果 不 是 这 样 ， 那 么 ， 某 个 进程 就 会 拥 
有 相等 或 更 高 的 优先 级 ， 而 这 个 进程 的 执行 将 被 延迟 。 

前 面 曾 用 过 的 那个 进程 集合 现在 可 以 在 ICPP 下 执行 ( 见 图 13-9)。 








图 13-9 优先 级 继承 的 例子 一 一 ICPP 


进程 a 在 时 间 1 锁 住 Q， 接 着 在 优先 级 4 运行 4 个 滴答 。 因 此 ， 进 程 ?。c、d 都 不 能 开始 运行 。 
一 旦 a 解锁 Q 〈 它 的 优先 级 也 随 之 降低 )， 其 他 进程 按 优先 级 顺序 执行 。 注 意 所 有 的 阻塞 发 生 在 
实际 执行 前 ， 进 程 d 的 响应 时 间 现 在 仅仅 是 6。 然 而 ， 这 有 点 令 人 误解 ， 因 为 两 种 协议 的 最 坏 
情况 阻塞 时 间 是 一 样 的 ( 见 式 (13-9))。 

尽管 两 种 高 限 方案 的 最 坏 情 况 行为 是 相同 的 (从 调度 的 观点 )， 但 也 有 一 些 不 同 点 : 

"ICPP 比 OCPP 易 于 实现 ， 因 为 不 需要 监控 阻塞 关系 。 

*ICPP 导 致 更 少 的 上 下 文 切换 ， 因 为 阻塞 在 首次 执行 之 前 。 

“ICPP 需 要 更 多 的 优先 级 移动 ， 因 为 这 会 在 各 种 资源 使 用 中 发 生 ; OCPP 仅 在 实际 阻塞 发 

生 时 才 改 变 优先 级 。 

最 后 ,注意 协议 ICPP 在 POSIX 中 称 为 优先 级 保护 协议 (Priority Protect Protocol) , 在 实时 
Java 中 称 为 高 限 优 先 级 仿真 (Priority Ceiling Emulation). 
13.11.2 高 限 协议 、 互 斥 和 死 锁 

尽管 以 上 两 种 高 限 协议 的 算法 是 用 资源 上 的 锁定 义 的 ; 但 是 必须 要 强调 的 是 ,是 这 些 协 
议 本 身 而 不 是 其 他 的 同步 原 语 提供 了 对 资源 的 互 斥 访问 【和 至少 在 单 处 理 器 系统 上 是 这 样 )。 考 
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虑 一 下 ICPP， 如 果 一 个 进程 访问 某 个 资源 ， 那 么 它 运行 时 的 优先 级 等 于 高 限 值 。 其 他 使 用 这 
个 资源 的 进程 的 优先 级 不 可 能 比 这 个 更 高 ， 因 此 ， 正 在 执行 的 这 个 进程 要 么 不 受阻 碍 地 执行 ， 
且 能 使 用 该 资源 ， 要 么 它 被 抢占 ， 但 新 的 进程 不 会 使 用 这 个 特定 和 资源。 不 管 哪 种 方法 ， 互 斥 
都 得 到 保证 。 

高 限 协 议 的 男 一 主要 性 质 (也 是 针对 单 处 理 器 系统 ) 是 它们 不 会 产生 死 锁 。 在 第 11 章 ， 
对 无 死 锁 资源 的 使 用 问题 进行 了 详细 研究 。 高 限 协 议 是 一 种 死 锁 预 防 的 形式 。 如 果 一 个 进程 
在 拥有 一 个 资源 的 同时 申请 另 一 个 ， 那 么 第 二 个 资源 的 高 限 优先 级 不 可 能 低 于 第 一 个 的 高 限 。 
的 确 ， 如 果 (不 同 进程 ) 以 不 同 的 顺序 使 用 两 个 资源 ， 那 么 它们 的 高 限 必 然 是 一 样 的 。 因 为 
一 个 进程 不 会 被 另 一 个 同样 优先 级 的 进程 抢占 ， 一 旦 进程 获得 了 一 个 资源 ， 那 么 对 于 所 有 其 
他 的 资源 ， 在 需要 它们 时 ， 都 是 空 亲 的。 没有 循环 等 待 的 可 能 ， 且 死 锁 被 预防 了 。 
13.11.3 阻塞 和 EDF 


当 考 虑 共享 资源 和 阻塞 时 ， 在 EDF 和 FPS 之 间 有 一 个 直接 的 类 比 。FPS 会 遵 受 优先 级 反 转 ， 
而 EDF 会 遭受 时 限 反 转 。 这 发 生 在 一 个 进程 需要 一 个 资源 ， 但 是 该 资源 正 被 另 一 个 有 较 长 时 
限 的 进程 锁 住 了 的 时 候 。 不 必 惊奇 ， 已 经 为 EDF 开 发 了 继承 和 高 限 协议 ， 但 是 ， 正 如 前 面 做 
的 比较 ，EDF 方 案 更 复杂 一 点 。 

因为 优先 级 是 静态 的 ， 因 而 易于 决定 哪 一 个 进程 可 能 阻塞 当前 正 被 分 析 的 进程 。 在 EDF 
中 ， 这 种 关系 是 动态 的 ， 它 依赖 于 当前 正 被 分 析 的 进程 启动 时 哪 一 个 进程 (有 较 长 时 限 的 ) 
是 活动 的 。 并且 在 超 周期 期 间 ， 进 程 每 一 次 启动 时 情况 都 会 有 所 不 同 。 

或 许 关 于 EDF 的 最 好 方案 是 Baker (1991) 的 堆栈 资源 策略 (Stack Resource Policy, SRP). 
它 同 FPS 的 立即 高 眼 优 先 级 协议 非常 相似 (SRP 确 实 影响 了 ICPP 的 开发 ) 。 在 SRP 下 ， 每 个 进 
程 被 分 配 一 个 抢占 级 别 。 抢 占 级 别 反映 进程 时 限 的 相对 关系 ， 时 限 越 短 ， 抢 占 级 别 越 高 ， 因 
此 ， 抢 占 级 别 实际 上 就 指明 了 进程 的 静态 优先 级 ， 就 像 是 用 时 限 单 调 方案 分 配 的 优先 级 一 样 。 
在 运行 时 ， 基 于 使 用 资源 的 进程 的 最 大 抢占 级 别 给 资源 分 配 高 限 值 。 当 一 个 进程 启动 时 ， 仅 
当 它 的 绝对 时 限 比 当前 运行 进程 得， 且 它 的 抢占 级 别 高 于 当 前 被 锁 住 资源 的 最 高 高 限时 ， 它 
才能 抢占 正 运行 的 进程 。 这 个 协议 的 结果 同 ICPP 是 一 样 的 。 进程 仅 造 受 一 次 阻塞 且 发 生 在 
它 启 动 时 ， 死 锁 被 预防 了 ， 而 且 有 一 个 计算 阻塞 时 间 的 简单 公式 。 


13.12 一 个 可 扩充 的 进程 模型 


前 面 曾 指出 ，13.1 节 介绍 的 模型 过 于 简单 化 难以 实际 使 用 。 在 随后 的 小 节 里 ， 取 消 三 个 重 
要 限制 ， 从 而 : 

“时 限 能 小 于 周期 (D<T). 

“偶发 和 非 周期 进程 同 周期 进程 一 样 得 到 支持 。 

“ 将 阻塞 作为 响应 时 间 公 式 的 考虑 因素 ， 进 程 交互 成 为 可 能 。 

在 这 一 节 里 ， 将 给 出 五 个 进一步 的 推广 。 只 研究 固定 优先 级 调度 ， 因 为 EDF 分 析 在 这 一 
领域 还 不 成 熟 。 本 节 将 用 一 个 通用 的 优先 级 分 配 算法 作为 结束 ， 
13.12.1 合作 调度 


上 面 描述 的 模型 都 需要 真正 的 抢占 式 分 派 。 在 这 一 节 ， 将 介绍 一 个 替代 方案 (使 用 延期 
抢 澡 )。 它 有 一 此 优点 ， 目 仍 能 使用 体现 在 公 六 (13.7) PUM REE oR oe 
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(13-7) 中 ， 有 一 个 阻塞 项 B， 它 计算 当 较 高 优先 级 进程 可 运行 时 较 低 优先 级 进程 可 以 继续 执 
行 的 时 间 。 在 应 用 领域 ,这 种 情况 可 能 是 由 不 同 优先 级 的 进程 共享 数据 ( 互 斥 使 用 ) 而 引起 
的 。 然 而 ， 阻 塞 也 可 能 由 运行 时 系统 或 内 核 引 起 。 许 多 系统 将 非 抢占 式 上 下 文 切 换 的 时 间作 
为 最 长 的 阻塞 时 间 【〈 例 如 ， 一 个 较 高 优先 级 进程 的 启动 被 内 核 延迟 一 段 时 间 ， 这 就 是 内 核 切 
换 上 下 文 到 一 个 较 低 优先 级 所 用 的 时 间 一 一 即使 会 接着 立即 发 生 到 较 高 优先 级 进程 的 切换 )。 

使 用 立即 高 限 优先 级 协议 (去 计算 和 限制 8) 的 优点 之 一 是 阻塞 不 会 累积 。 一 个 进程 不 可 
能 被 一 个 应 用 进程 和 一 个 内 核 例 程 两 者 阻塞 一 - 当 更 高 优先 级 进程 启动 的 时 候 ， 只 有 一 个 阻 
塞 可 能 实际 发 生 。 

合作 调度 通过 增加 阻塞 可 能 出 现 的 情形 利用 了 这 种 非 累 积 性 质 。 令 Bwax 是 系统 中 的 最 长 
阻塞 时 间 (使 用 传统 方法 )。 应 用 程序 代码 被 分 为 非 抢 占 块 ， 这 些 块 的 执行 时 间 被 限定 在 Bax 
内 。 在 每 个 块 的 最 后 ， 应 用 程序 代码 向 内 核 提供 一 个 “剥夺 调度 ”( de-scheduling) 请 求 。 如 
采 一 个 高 优先 级 进程 现在 是 可 运行 的 ， 内 核 将 激发 上 下 文 切换 ; 如 果 没 有 可 运行 的 高 优先 级 
进程 ， 当 前 运行 进程 将 继续 运行 下 一 个 非 抢占 块 。 

这 样 ， 应 用 程序 代码 的 常规 执行 完全 是 合作 的 。 一 个 进程 将 继续 执行 直到 它 提供 一 个 剥 
村 调 度 请 求 。 因 此 ， 只 要 任何 临界 段 被 完全 包含 在 剥夺 调度 调用 之 间 ， 互 斥 就 得 到 保证 。 所 
以 ， 这 种 方法 确实 需要 小 心 放置 剥夺 调度 调用 。 

为 了 对 被 破坏 的 (或 不 正确 的 ) 软件 提供 某 种 级 别 的 保护 ， 如 果 任 何 非 抢 占 块 运 行 时 间 
超过 Bwax 的 话 ， 内 核 可 能 使 用 异步 信号 或 中 止 去 清除 应 用 进程 。 

使 用 延期 抢占 有 两 个 重要 优点 。 它 增加 了 系统 的 可 调度 性 ， 而 且 它 能 导致 较 低 的 C 值 。 在 
方程 (13-4) 的 求解 中 ， 因 为 w 的 值 正 在 扩大 ， 新 启动 的 较 高 优先 级 进程 可 能 进一步 增加 w 的 
值 。 在 延期 抢占 中 ， 在 最 后 块 的 执行 期 间 没有 干扰 发 生 。 令 屎 是 最 后 块 的 执行 时 间 ， 那 么 当 
该 进程 已 经 运行 了 C， 一 已 个 时 间 单元 的 时 候 ， 最 后 块 才 〈 刚 刚 ) 开始 。 方 程 (13-4) 现在 要 
对 Ci 一 站 而 不 是 对 Ci; 求解 : 


Wr" = Bay +C, -F+ 2 


we 
j A 
当先 代 收敛 时 (wr*1=w?)， 响 应 时 间 由 下 式 给 出 : 
R;=witF; (13-11) 
实际 上 ， 进 程 的 最 后 块 执行 时 的 优先 级 (最 高 的 ) 比 进程 其 余部 分 的 优先 级 要 高 。 
延期 抢占 的 另 一 个 优点 是 它 能 更 精确 地 预测 进程 的 非 抢占 基本 块 的 执行 时 间 。 现 代 处 理 
器 有 高 速 缓存 、 预 取 队列 和 管道 ， 这 些 都 明显 减少 了 直线 代码 的 执行 时 间 。 通 常 ， 最 坏 情况 
执行 时 间 的 简单 估计 被 迫 忽略 掉 这 些 优点 ， 从 而 得 到 非常 翡 观 的 结果 ， 因 为 抢占 使 高 速 缓存 
和 管道 无 效 。 非 抢占 的 知识 能 用 于 预测 实际 执行 的 速度 。 但 是 ， 如 果 提供 上 下 文 切换 的 开销 
很 高 ， 那 将 对 这 些 优点 产生 影响 。 参 看 16.3.4 节 关于 如 何 为 高 速 缓存 效应 对 可 调度 性 分 析 的 影 
响 建 模 的 讨论 。 
13.12.2 启动 抖动 
在 简单 模型 中 ， 所 有 进程 被 假设 是 周期 性 的 ， 并 且 完 全 周期 性 地 启动 ， 也 就 是 说 ， 如 果 
进程 (的 周期 为 7， 那 么 它 精 确 地 按照 这 个 频率 启动 。 通 过 假设 偶发 进程 的 最 小 到 达 时 间 间 隔 
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为 7 将 它们 并 和 人 到 了 这 个 模型 中 来 。 然 而 ， 这 不 总 是 一 个 现实 的 假定 。 考 虑 一 个 偶发 进程 *， 
它 被 一 个 在 另 一 处 理 器 上 的 周期 进程 启动 。 进 程 ! 的 周期 是 也， 偶发 进程 将 有 同样 的 速率 ， 但 
是 ， 如 果 认 为 偶发 进程 ;是 一 个 周期 进程 ， 且 周期 7,=T,， 可 以 用 式 (13-4) 或 (13-5) 来 表示 
s 施 加 在 低 优先 级 进程 上 的 最 大 负载 (干扰 )， 那 是 不 正确 的 。 

为 了 理解 为 什么 这 是 不 正确 的 ， 考 虑 进程 /的 连续 两 次 执行 。 假 设 启动 进程 :的 事件 发 生 在 
周期 进程 执行 的 最 后 阶段 。 在 进程 /的 第 一 次 执行 时 ， 假 设 读 进 程 直 到 最 后 可 能 的 时 间 才 完成 ， 
也 就 是 RI 时 才 完 成 。 然 而 ， 在 它 第 二 次 运行 时 ， 假 设 它 没有 受到 干扰 ， 所 以 它 在 C 时 间 内 就 完 
成 了 。 因 为 这 个 值 可 能 是 任意 小 的 ， 所 以 让 它 等 于 0。 这 时 ， 偶 发 进程 的 两 次 执行 的 间隔 就 不 
是 五， 而 是 五 -~ 尺 。 图 13-10 说 明了 这 种 行为 ， 这 里 也 =20, R,=15, 且 最 小 的 Ci 等 于 1 (也 就 是 ， 
偶发 进程 的 两 次 启动 发 生 在 6 个 时 间 单 位 之 内 )。 注 意 这 种 现象 仅 在 进程 是 远程 进程 的 时 候 才 
有 意义 。 如 果 不 是 这 种 情况 ， 那 么 进程 ;启动 的 这 种 变异 可 以 用 标准 的 公式 计算 出 来 ， 在 这 里 
要 假定 在 启动 进程 和 被 启动 进程 间 有 一 个 临界 瞬间 。 


i} GB 


t . t+15 1+20 
时 间 ——> 


E To 
| 由 其 任务 的 完成 和 个 发 任务 的 启动 


图 13-10 偶发 进程 的 启动 


为 了 正确 捕获 偶发 进程 对 其 他 进程 的 干扰 ， 必 须 修改 递 推 关系 。 进 程 启动 的 最 大 变异 被 
称 为 它 的 桂 动 (用 /表示 )。 例 如 ， 在 上 面 的 例子 中 ， 进 程 ; 的 拌 动 值 为 15。 按 照 它 对 更 低 优先 
级 进程 的 最 大 影响 ，、 这 个 偶发 进程 将 在 时 间 0、5、25、45 等 等 被 启动 。 也 就 是 在 时 间 0、T-/、 
27 一 J、37 一 J 等 等 被 启动 。 观 察 可 调度 性 公式 的 推导 可 以 发 现 ， 如 果 R, 在 0 到 -J 之 间 ， 也 就 
是 RE [0，7-7)， 进 程 将 受 进程 的 一 次 于 扰 ， 如 果 RE.IT- 7，27-J)， 则 受 2 次 干扰 ， 如 果 
RE [27 一 J，3T-J)， 则 受 3 次 干扰 ， 等 等 。 对 这 些 条 件 做 微小 的 重新 整理 就 可 得 到 ， 如 果 
Ri+JE (0, T) 则 有 一 次 干扰 ，Ri+JE [T，2T) 则 有 两 次 干扰 ， 等 等 。 这 一 结论 可 以 用 同 先 
前 的 响应 时 间 公式 一 样 的 形式 描述 如 下 (Audsley 等 ，1993a): 


R,+J, 


R=B+C+ X 
jenp(i) T, 


通常 ， 周 期 进程 不 会 有 启动 抖动 。 然 而 ， 实 现 也 许 会 限制 系统 定时 器 ( 它 用 于 启动 周期 
进程 ) 的 粒度 。 在 这 种 情况 下 ， 周 期 进程 可 能 也 会 有 启动 拌 动 。 例 如 ， 7 为 10， 而 系统 定时 器 
的 粒度 为 8， 拌 动 值 将 为 6 一 -在 时 间 16 时 周期 进程 才 会 被 第 二 次 启动 (在 时 间 10 发 出 的 调用 )。 
如 果 要 测量 相对 于 实际 启动 时 间 的 响应 时 间 (现在 被 记 为 Rr"”*)， 那 么 拌 动 值 必 须 加 入 到 先 
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前 的 计算 中 : 
Reeriodic — Rit J, (13-13) 

如 果 新 的 值 比 7 大 ， 那 么 必须 使 用 下 面 的 分 析 方法 。 
13.12.3 任意 的 时 限 

HATRED, (因此 也 可 能 包括 R;) 可 能 大 于 7 的 要 求 ， 必 须 再 次 调整 分 析 方 法。 当时 限 小 
于 (或 等 于 ) 周期 时 ， 只 需要 考虑 每 个 进程 的 单 次 启动 。 当 所 有 较 高 优先 级 进程 在 同一 时 间 
被 启动 时 ， 临 界 瞬间 表示 最 大 的 干扰 、 因 此 紧 接 着 在 临界 瞬间 启动 的 响应 时 间 必 然 是 最 坏 情 
况 。 但 是 当时 限 大 于 周期 时 ， 就 必须 考虑 多 个 启动 了 。 下 面 假设 一 个 进程 的 启动 将 被 延迟 直 
到 同一 进程 的 前 面 任 一 次 的 启动 都 已 完成 。 

如 果 一 个 进程 执行 到 下 一 个 周期 ， 就 必须 分 析 两 次 启动 ， 看 哪 一 次 会 引起 最 长 的 响应 时 
间 。 此 外 ， 如 果 第 二 次 启动 在 第 三 个 周期 开始 时 还 未 完成 ， 那 么 新 的 启动 也 要 被 考虑 ， 等 等。 

对 于 每 一 个 潜在 的 重 肥 启动 ， 定 义 一 个 单独 的 窗口 w(q)，g 是 一 个 整数 ， 用 于 标识 一 个 特定 
窗口 《也 就 是 ，4=0,1.2…)。 等 式 (13-5) 能 被 扩充 为 以 下 形式 (忽略 抖动)(Tindell 等 ，1994): 

T 


J 


f (13-14) 


w^" (q) =B, + (q +1)C, + 2 | 
Jehp(i) 





例如 ， 当 g =2 时 ， 在 这 个 窗口 中 将 出 现 这 个 进程 的 三 次 启动 。 对 于 每 个 g 值 ， 能 通过 迭代 找到 
一 个 稳定 的 w(q) 值 一 -就 像 式 (13-5) 一 样 。 响 应 时 间 可 以 给 出 如 下 : 
Ri:(q)= wi(g) - qT; (13-15) 
例如 ， 在 时 间 27; 启 动 的 进程 将 进入 y= 2 的 窗口 ， 因此 响应 时 间 是 窗口 大 小 减 去 27,。 
需要 考虑 的 启动 次 数 被 限定 在 满足 下 式 的 最 小 的 g 值 以 内 。 


Ri(q) € T, (13-16) 


这 样 ， 进 程 在 下 一 次 启动 前 完成 ， 因 此 后 面 的 窗口 不 会 重大 。 最 坏 情 况 响应 时 间 就 是 每 个 y 的 
最 大 值 : 
R, = max R(q) (13-17) 


4-0,1,2,.. 


注意 ,对 于 D< 了， 当 g=0 时 , 式 (13-16) 为 真 。 在 这 种 情况 下 ， 式 (13-14) 和 (13-15) 简 
化 回 以 前 的 等 式 。 如 果 R>D， 那 么 进程 是 不 可 调度 的 。 

当 这 个 关于 任意 时 限 的 公式 要 结合 启动 样 动 的 影响 时 ， 必须 对 以 上 的 分 析 做 两 个 变更 。 
首先 ， 就 像 以 前 一 样 ， 如 果 较 高 优先 级 进程 遭受 启动 样 动 ， 那么 干扰 因素 就 必然 增加 : 


w'(q)* J, 


w"! (q) =B, +(q+1)C, + 2 
JA T, 





C, (13-18) 





另 一 个 变更 涉及 进程 自身 。 如 果 它 可 能 遭受 启动 抖动 ， 如 果 响 应 时 间 加 上 抖动 大 于 周期 
Wik, BARMERA TEER. HEM, X (13-15) 必须 被 改 为 : 
Riq) = wi(q) - QT; + J; (13-19) 
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13.124 容错 
通过 向 前 或 向 后 出 错 恢复 来 容错 总 会 引起 额外 计算 。 这 可 能 是 一 个 异常 处 理 程序 或 一 个 
恢复 块 。 在 实时 容错 系统 中 ， 即 使 有 某 种 级 别 的 故障 出 现 ， 时 限 应 当 仍然 得 以 满足 。 这 种 容 
错 的 级 别 被 称 作 故 障 模型 (fault model)。 如 果 C! 是 进程 的 错误 引起 的 额外 计算 时 间 ， 那 么 响 
应 时 间 公 式 可 以 容易 地 被 改 为 : 
R, - B, «C, Pi C, + max C/ (13-20) 


7 — k&hepQi) 
J 


RP, hepi 是 优先 级 等 于 或 高 于 进程 ;的 进程 的 集合 。 


在 这 里 ， 故 障 模型 定义 了 一 个 故障 的 最 大 值 ， 并 且 这 里 还 有 一 个 假设 ， 即 一 个 进程 将 用 
与 常规 计算 同样 的 优先 级 执行 恢复 动作 。 可 以 容易 地 在 式 (13-20) 中 加 入 被 允许 的 故障 的 数 
B (E): 


R =B, +C,+ 2 R 
Jenpii) T 


确实 ， 可 以 这 样 分 析 一 个 系统 : 增加 F 的 值 ， 看 看 可 以 容忍 多 少 故障 (爆发 式 到 达 )。 另 
一 方面 ， 故 障 模型 可 以 指出 最 小 的 故障 到 达 间 隔 ， 在 这 种 情况 下 等 式 变 为 : 


c (13-22) 


C + max Fc! (13-21) 


7 kaheli) 








其 中 7 是 故障 间 的 最 小 到 达 间 隔 时 间 。 

在 式 (13-21) 和 (13-22) 中 ,做 了 一 个 假设 ， 即 在 最 坏 情 况 下 ， 故障 总 是 出 现在 有 最 长 
恢复 时 间 的 进程 中 。 l 
13.125 引入 偏 移 量 

本 章 到 目前 为 止 介绍 的 调度 分 析 都 假定 所 有 进程 共享 同一 启动 时 间 。 这 个 临界 瞬间 是 指 
所 有 进程 同时 启动 的 时 刻 ( 道 常 发 生 在 时 间 0)。 对 于 固定 优先 级 调度 ， 这 是 一 个 安全 的 假设 ， 
当 一 起 启动 时 ， 如 果 所 有 进程 都 满足 它们 的 时 间 需 求 ， 那么 它们 就 总 是 可 调度 的 。 然 而 也 有 
一 些 周 期 进程 集合 可 因明 确 地 选择 启动 时 间 而 从 中 获 益 ， 所 以 它们 不 共享 一 个 临界 瞬间 。 这 
时 ， 一 个 进程 被 认为 有 一 个 关于 其 他 进程 的 偏 移 量 (offset). 考虑 表 13-13 中 说 明 的 3 个 进程 。 


表 13-13 ”进程 集合 的 例子 








CO 
进 程 T D C 
MÁS LE 
a 8 5 4 
b 20 10 4 
c 20 12 4 


如 果 假定 有 一 个 临界 瞬间 ， 那 么 进程 的 响应 时 间 为 4， 进 程 b 的 响应 时 间 为 8， 但 是 第 三 
个 进程 有 一 个 最 坏 情 况 的 响应 时 间 16， 这 超过 它 的 时 限 。 对 于 进程 c， 来 自 进程 5 的 干扰 足够 
长 ,以 至 引起 更 一 步 来 自 进程 4 的 干扰 ， 这 一 点 至 关 重 要 。 然 而 ， 如 果 进程 c 被 给 予 偏 移 量 (0) 
也 就 是 ， 保 持 相同 的 周期 和 相对 时 限 ， 但 是 在 时 间 10 第 一 次 启动 ) 那么 它 将 永远 不 会 在 
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同 进程 一样 的 时 间 执 行 。 结 果 是 一 个 可 调度 的 进程 集 一 一 见 表 13-14。 
表 13-14 ”进程 集合 的 响应 时 间 分 析 





进 B T D C 0 R 
a 8 5 4 0 4 
b 20 10 4 0 8 
C 20 12 4 10 8 


遗憾 的 是 ， 有 任意 偏 移 量 的 进程 集合 不 易于 进行 分 析 。 选 择 合适 的 偏 移 量 以 使 进程 集 具 
有 最 优 的 可 调度 性 是 一 个 很 强 的 NP 难度 问题 。 的 确 如 此 ， 其 至 连 检 查 带 有 偏 移 量 的 进程 集 是 
否 共享 临界 瞬间 这 样 的 问题 都 是 一 个 远 非 简单 的 问题 ” 。 

虽然 有 这 些 理论 上 的 问题 ， 也 存在 能 够 通过 相对 简单 (虽然 不 一 定 是 最 优 ) 的 方法 进行 
分 析 的 进程 集合 。 在 大 多 数 现实 的 系统 中 ， 进 程 周期 不 是 任意 的 ,但 很 可 能 互相 相关 。 正 如 
刚才 列举 的 例子 ， 两 个 进程 拥有 相同 的 周期 。 在 这 种 情况 下 ， 可 以 很 容易 地 给 一 个 进程 以 仿 
移 量 《772)， 并 使 用 一 种 消除 偏 移 量 的 变换 技术 去 分 析 这 样 产生 的 系统 一 一 这 时 临界 瞬间 分 析 
就 适用 了 。 在 这 个 例子 中 ， 进 程 ; 和 c (< 有 偏 移 量 10) 都 可 被 一 个 周期 为 0、 计 算 时 间 为 4、 
时 限 为 10、 但 是 没有 偏 移 量 的 假想 进程 替换 。 这 个 假想 进程 具有 两 个 重要 的 性 质 。 

"如果 它 是 可 调度 的 〈 当 同 所 有 其 他 的 进程 共享 一 个 临界 瞬间 时 ) ， 当 两 个 实际 进程 中 的 

一 个 被 给 予 半 个 周期 的 偏 移 量 时 ， 这 两 个 实际 进程 将 能 满足 它们 的 时 限 ， 

* 当 受 到 假想 进程 《和 所 有 其 他 的 高 优先 级 进程 ) 的 于 扰 时 ， 如 果 所 有 较 低 优先 级 进程 是 

可 调度 的 ， 那 么 ， 当 这 个 假想 进程 被 两 个 实际 进程 (其 中 一 个 有 偏 移 量 ) 替换 时 ， 它 们 

也 仍然 可 调度 。 
这 些 性 质 来 自 以 下 观察 : 假想 进程 使 用 的 CPU 时 间 总 是 比 这 两 个 实际 进程 更 多 (或 相等 )。 表 
13-15 说 明 这 种 分 析 就 能 适用 于 变换 后 的 进程 集合 。 这 个 假想 进程 在 表 中 以 “n” 命 名 的 。 


表 13-15 ”变换 后 进程 集合 的 响应 时 间 分 析 


更 一 般 地 ， 假 想 进程 参数 可 以 从 实际 进程 c 和 8 计算 得 出 ， 如 下 所 示 : 
T, = TV/2 (或 TV2 因 为 也 = T;) 
C, = Max(C,, Co) 
D, = Min(D,, D;) 
P,7 Max(P,, P;) 
其 中 P 表 示 优 先 级 。 
很 明显 ， 适 合 于 两 个 进程 的 结论 ， 对 于 三 个 或 者 更 多 进程 也 是 适用 的 。Bate 和 Burns 
(1997) 给 出 了 这 些 技术 更 全 面 的 描述 。 概 要 地 说 ， 虽 然 不 可 能 有 效 地 分 析 任意 的 偏 移 量 ， 但 
症 明 智 地 使 用 偏 移 量 和 转换 技术 可 以 使 分 析 问 题 得 以 简化 ， 回 到 共享 临界 瞬间 的 简单 进程 集 


O 一 个 有 趣 的 结果 是 具有 互 质 


(co-prime) 周期 的 进程 集 总 是 有 临界 瞬间 ， 不 管 选 择 什么 偏 移 量 (Audsley 
and Burns, 1998), 
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合 的 状况 。 因 此 ， 本 章 前 面 小 节 中 给 出 的 所 有 分 析 方 法 都 适用 。 
13.12.6 优先 级 分 配 
前 面 给 出 的 针对 任意 时 限 的 公式 有 一 个 特性 ， 那 就 是 没有 一 个 简单 算法 (如 速率 或 时 限 
soi] 的 单调 排序 ) 给 出 最 优 的 优先 级 排序 。 在 本 节 里 ， 给 出 一 个 定理 和 一 个 算法 ， 用 于 在 任 音 时 
限 情 况 下 分 配 优先 级 。 这 个 定理 考虑 了 最 低 优先 级 进程 的 行为 (Audsley 等 ，1993b )。 
定理 : 如 果 进 程 p 被 分 配 了 最 低 优 先 级 并 且 是 可 行 的 ， 那 么 ， 如 果 完 整 的 进程 集 
合 存 在 一 个 可 行 的 优先 级 排序 ， 则 存在 进程 p 被 分 配 最 低 优先 级 的 排序 。 


对 这 个 定理 的 证 明 来 自 对 可 调度 性 等 式 的 考虑 一 一 例如 式 (13-14)。 如 果 进 程 具有 最 低 优 
先 级 ， 那 么 它 就 受到 所 有 更 高 优先 级 进程 的 干扰 。 这 种 干扰 是 不 依赖 于 这 些 更 高 优先 级 的 实 
际 顺序 的 。 因 此 ， 如 果 一 个 进程 在 被 分 配 它 能 允许 的 最 低 优先 级 时 仍 是 可 调度 的 ， 那 么 剩 下 
的 工作 就 是 分 配 其 他 N- 1 个 优先 级 。 幸 运 的 是 ， 这 个 定理 能 被 重新 运用 于 这 个 缩减 了 的 进程 
集 。 因 此 通过 连续 的 重复 运用 ， 就 可 得 到 一 个 完整 的 优先 级 排序 (如 果 存 在 的 话 )。 

以 下 Ada 语 言 代码 实现 了 这 个 优先 级 分 配 算法 , 其 中 set 是 想 要 按 优先 级 排序 的 进程 数组 , 
Set (N) 为 最 高 优先 级 ，Set (1) 为 最 低 优先 级 。 过 程 Process_Test 测 试 进 程 K 在 数组 
中 的 位 置 是 否 是 可 行 的 。 这 个 双 循 环 先 将 一 个 进程 放 在 最 低 优先 级 的 位 置 ， 看 其 是 否 可 行 ， 
不 行 就 用 下 一 个 进程 ， 直 到 找到 一 个 进程 可 以 放 在 该 位 置 ， 这 个 进程 就 被 固定 在 这 个 位 置 。 
然后 考虑 下 一 个 优先 级 的 位 置 。 如 果 在 任何 时 刻 内 部 循环 不 能 找到 可 行 的 进程 ， 整 个 过 程 就 
失败 了 。 注 意 如 果 有 一 个 额外 的 交换 可 用 ， 就 可 能 有 一 个 简明 的 算法 。 


procedure Assign Pri (Set : in out Process Set; N : Natural; 
Ok : out Boolean) is 
begin 
for K in 1..N loop 
for Next in K..N loop 
Swap(Set, K, Next); 
Process Test(Set, K, Ok); 
exit when Ok; 
end loop; 
exit when not Ok; -- 寻找 可 调度 进程 失败 
end loop; 
end Assign Pri; 
如 果 可 行 性 的 测试 是 准确 的 (必要 且 充 分 )， 那 么 优先 级 排序 就 是 最 优 的 。 因 而 对 于 任意 
的 时 限 (没有 阻塞 )， 就 得 到 一 个 最 优 的 排序 。 


13.13 动态 系统 和 联机 分 析 


本 章 前 面 注意 到 ， 针 对 不 同 的 应 用 需求 ， 已 经 建立 了 各 种 各 样 的 调度 方案 。 对 于 硬 实 时 
[502] 系统 ， 脱 机 分 析 是 理想 的 (其 实 ， 它 经 常 是 强制 性 的 )。 为 了 进行 这 种 分 析 ， 需 要 : 
“ 来临 工作 的 到 达 模 式 是 已 知 的 和 有 界 的 (这 样 导致 了 一 个 固定 的 进程 集合 ， 它 具有 已 知 
的 周期 或 者 最 坏 情况 到 达 间 隔 ) ; 
* 有 界 的 计算 时 间 ; 
* 一 个 导致 应 用 进程 的 可 预测 执行 的 调度 方案 。 
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本 章 已 经 说 明了 固定 优先 级 调度 (在 一 定 范围 内 也 包括 EDF) 是 如 何 提供 一 个 可 预测 的 
执行 环境 的 。 

与 硬 实时 系统 不 同 ， 动 态 软 实时 应 用 的 到 达 模 式 和 计算 时 间 事 先 并 不 知道 。 虽 然 还 能 
用 某 个 级 别 的 脱 机 分 析 ， 但 会 是 不 完整 的 ， 因 此 需要 某 种 形式 的 联机 分 析 。 

联机 调度 方案 的 主要 任务 是 管理 由 于 动态 系统 环境 造成 的 极 有 可 能 出 现 的 超载 。 本 章 前 
面 就 指出 了 EDF 是 一 个 动态 调度 方案 ， 它 是 最 优 的 调度 规则 。 但 是 ，EDF 有 一 种 特性 : 在 短 
暂 的 超载 期 间 ， 它 的 表现 非常 差 。 它 可 能 导致 一 个 级 联 式 的 后 果 一 一 当 一 个 进程 错过 它 的 时 
限时 ， 由 于 它 占 用 充足 的 资源 ， 因 而 导致 下 一 个 进程 也 错过 时 限 。 

为 了 对 付 这 个 有 害 的 多 米 诺 效应 ， 许 多 联机 方案 有 两 种 机 制 。 

1) 处 理 器 有 一 个 进入 许可 控制 模块 ， 它 限制 允许 竞争 处 理 器 的 进程 数目 ; 

2) 有 一 个 EDF 分 派 例 行程 序 ， 它 对 允许 进入 的 进程 进行 分 派 。 

理想 的 进入 许可 算法 应 防止 处 理 器 超载 ， 以 便 EDF 例 程 有 效 地 工作 。 

如 果 想 要 一 些 进程 被 允许 进入 、 其 他 的 被 拒绝 ， 每 个 进程 的 相对 重要 性 必须 是 已 知 的 。 
通常 通过 赋值 可 以 达到 。 值 可 以 按 如 下 分 类 : 

* 静态 的 一 一 无 论 进程 何 时 启动 ， 它 总 是 有 同样 的 值 。 

* 动态 的 一 一 进程 的 值 仅 在 进程 启动 时 计算 (因为 它 依赖 于 环境 因素 或 者 当时 的 系统 状态 )。 

* 适应 的 一 一 系统 具有 动态 特性 ， 进 程 的 值 会 在 执行 过 程 中 改变 。 

为 了 分 配 静 态 值 (或 者 为 动态 或 适应 的 方案 构造 算 靶 和 定义 输入 参数 ) 要 求 领域 专家 清 
晰 明白 地 说 出 他 们 对 系统 理想 行为 的 理解 。 就 像 其 他 的 计算 领域 一 样 ， 知 识 推导 (knowledge 
elicitation) 也 有 它 自身 的 问题 。 但 是 这 些 问 题 不 在 这 里 考虑 (参看 文献 (Burns 等 ，2000 ) )。 

联机 分 析 的 基本 问题 之 一 是 ， 需 要 在 调度 决策 的 质量 和 资源 及 时 间 之 间 做 出 权衡 。 一 个 
极端 是 ， 每 次 一 个 新 的 进程 抵达 ， 整 个 进程 集合 进行 精确 的 脱 机 测试 ， 例 如 本 章 前 面 描述 过 
的 那些 测试 。 如 果 进 程 集合 是 不 可 调度 的 ， 有 最 小 值 的 进程 就 被 排除 ， 再 重复 测试 (直到 得 
到 可 调度 的 进程 集 )。 对 于 值 的 静态 或 动态 分 配 ， 这 个 方法 (被 称 为 最 佳 工作 量 (best effort) 
方法 ) 是 最 优 的 一 -但 这 仅仅 是 在 测试 的 开销 被 忽略 的 前 提 下 。 一 旦 计 入 了 这 种 开销 ， 这 个 
方法 的 有 效 性 就 要 严重 受 损 。 通 常 ， 联 机 调度 必须 使 用 启发 法 ， 并 且 任 何 单个 的 方法 不 可 能 
适用 于 所 有 的 应 用 。 这 仍然 是 一 个 活跃 的 研究 领域 。 很 明显 ,现在 所 需要 的 不 是 在 语言 或 操 
作 系统 标准 中 定义 的 单个 办 法 ， 而 是 需要 一 套 机 制 ， 在 该 机 制 下 ， 应 用 可 以 制定 它们 自己 的 
方案 去 满足 它们 特殊 的 需求 。 

本 节 最 后 要 说 的 是 包含 硬 成 分 和 动态 成 分 的 混合 系统 。 在 许多 应 用 领域 这 些 将 很 可 能 成 
为 标准 。 即 使 在 完全 静态 的 系统 中 ， 对 软 进程 或 固 进程 进行 增值 计算 (value-added 
computation) 以 改进 硬 进程 的 质量 ， 也 是 构造 系统 的 一 个 有 吸引 力 的 方式 。 在 这 些 情况 下 ， 
如 13.8.1 节 所 描述 的 ， 必 须 保护 硬 进程 ， 以 免 受到 由 非 硬 进 程 的 行为 引起 的 超载 的 影响 。 实 现 
这 一 点 的 一 个 方法 是 对 硬 进程 使 用 固定 优先 级 调度 ， 对 其 他 进程 使 用 服务 器 。 服 务 器 可 以 体 
现 理想 的 进入 许可 策略 ， 并 使 用 EDF 为 进来 的 动态 工作 提供 服务 。 


13.14 基于 优先 级 系统 的 编程 


很 少 有 程序 设计 语言 明确 定义 优先 级 作为 其 并 发 设施 的 一 部 分 。 它 们 常常 只 提供 初步 
的 模型 。 例 如 ， 在 occam2 中 有 一 个 PAR 构 造 的 变 体 ， 它 指出 应 该 给 指定 的 进程 分 配 静 坊 优 
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KR: 
PRI PAR 

P1 

P2 

PAR 
P3 
P4 

P5 


这 里 用 到 相对 优先 级 ，PRI PRAR 中 进程 的 文本 顺序 有 着 重要 意义 。 因 此 P1 有 最 高 优先 级 ， 
P2 有 次 高 优先 级 ，P3 和 P4 又 都 是 下 一 级 优先 级 ，P5 有 最 低 优 先 级 。 它 不 需要 实现 支持 最 小 
的 优先 级 范围 ， 也 不 支持 优先 级 继承 。 

试图 给 予 更 多 完整 供应 的 是 Ada 语 言 ， 因 此 ， 将 在 下 一 小 节 详 细 论 述 Ada。 传 统 上 ， 基 于 优 
先 级 的 调度 是 一 个 操作 系统 的 问题 ， 而 不 是 一 个 语言 问题 。 因 此 ， 讨 论 完 Ada 后 再 评述 POSIX 
的 设施 。Ada 和 POSIX 都 假定 任何 可 调度 性 分 析 已 经 脱 机 执行 。 最 近 ， 实 时 Java 试 图 提供 同 Ada 
和 POSIX 一 样 的 设施 ， 但 增加 了 对 联机 可 行 性 分 析 的 支持 选项 ， 这 将 在 13.14.3 节 研究 。 

也 许 应 该 指出 ， 虽 然 大 多 数 通 用 操作 系统 提供 了 进程 或 线程 优先 级 的 概念 ， 但 是 它们 的 
设施 通常 不 足以 用 于 硬 实时 编程 。 

13.14.1 Ada 


如 同 在 本 书 序言 中 指出 的 ，Ada 语 言 一 个 核心 语言 加 上 一 些 用 于 特定 应 用 领域 的 附件 组 
成 。 这 些 附件 不 包含 任何 新 的 语言 特性 (新 的 语法 )， 只 是 定义 了 一 些 使 用 特定 附件 所 必须 支 
持 的 程序 编 用 和 库 包 。 本 节 将 研究 实时 系统 附件 提供 的 某 些 设施 。 尤其 是 要 考虑 允许 给 任务 
(和 保护 对 象 ) 分 配 优先 级 的 那些 设施 8 。 在 system 包 中 ， 有 如 下 声明 : 


subtype Any Priority is Integer range 实现 定义 的 ; 
subtype Priority is Any Priority range 


Any Priority' First . . AÈ; 
subtype Interrupt Priority is Any Priority range 
Priority' Lastt+l .. Any Priority' Last; 


Default Priority : constant Priority :- 
(Priority' First + Priority' Last)/2; 

一 个 整数 的 范围 被 分 为 标准 优先 级 和 (更 高 的 ) 中 断 优先 级 两 部 分 。 实 现 必须 为 system. 
Priority 支 持 一 个 至 少 有 30 个 值 的 范围 ， 并 且 至 少 有 一 个 不 同 的 System. Interrupt_ 
Prioritylü. 

一 个 任务 通过 在 规格 说 明 中 包含 一 个 编 用 设置 它 的 初始 优先 级 : 

task Controller is 

Pragma Priority(10); 

end Controller; 
如 果 一 个 任务 类 型 的 定义 包含 这 样 一 个 编 用 ， 那 么 这 种 类 型 的 所 有 任务 就 有 同样 的 优先 级 ， 
除非 在 编 用 中 使 用 一 个 判别 式 : 


task type Servers(Task Priority : System.Priority) is 


o 各 多 级 也 能 分 配给 入 队列 和 选择 语句 的 操作 。 但 本 节 将 重点 关注 任务 优先 级 和 保护 对 象 高 眼 优先 级 
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entry Servicel(...); 
entry Service2(...); 
pragma Priority(Task Priority); 

end Servers; 

对 于 作为 中 断 处 理 程序 的 实体 ， 定 义 一 个 特殊 的 编 用 : 
pragma Interrupt Priority(Expression); 
或 简单 地 定义 为 : 

pragma Interrupt_Priority; 

按 中 断 级 别 定义 和 使 用 不 同 的 编 用 改善 了 程序 的 可 读 性 ， 帮 助 我 们 排除 了 由 于 任务 和 中 断 优 
先 级 的 混淆 而 导致 的 错误 。 然 而 ， 因 为 在 Interzupt_Priority 中 使 用 的 表达 式 的 值 可 以 
小 到 Any_Priority， 因 此 ， 可 能 给 中 断 处 理 程序 一 个 相对 低 的 优先 级 。 如 果 和 缺少 了 该 表达 
式 ， 则 分 配 最 高 可 能 的 优先 级 。 

使 用 这 些 编 用 中 的 一 个 分 配 的 优先 级 被 称 作 基 础 优先 级 (base priority ) 。 一 个 任务 也 可 能 
有 一 个 更 高 的 活跃 优先 级 (active priority) 一 一 这 将 在 适当 的 时 候 解 释 。 

由 一 个 假定 的 环境 任务 执行 的 主 程序 可 以 通过 在 主子 程序 里 放置 Priority 编 用 来 设置 
它 的 优先 级 。 如 果 设 有 这 么 做 ， 就 使 用 在 System 中 定义 的 默认 值 。 未 能 使 用 编 用 的 其 他 任务 
有 具有 默认 的 基础 优先 级 ， 该 基础 优先 级 等 于 创建 它 的 任务 的 基础 优先 级 。 

为 了 使 用 ICPP，Ada 程 序 必须 包含 以 下 编 用 : 


pragma Locking Policy(Ceiling Locking); 


实现 可 以 定义 其 他 的 锁定 策略 ，Ada 的 实时 系统 附件 仅 需 要 ceiling_Loceking。 如 果 漏 掉 
了 这 个 编 用 ， 则 默认 策略 由 实现 定义 。 为 了 指定 每 个 保护 对 象 的 高 限 优先 级 ， 使 用 上 一 节 定 
义 的 Priority 和 Interrupt_Priority 编 用 。 如 果 漏 掉 了 这 个 编 用 ， 高 限 被 假定 为 
System.Priority' Last, 

如 果 一 个 任务 用 比 一 个 保护 对 象 的 高 限 还 高 的 优先 级 调用 这 个 保护 对 象 ， 则 将 引发 异常 
Program_Error。 如 果 允 许 这 种 调用 ， 将 破坏 对 该 对 象 的 互 斥 保 护 。 如 果 是 一 个 中 断 处 理 
程序 用 一 个 不 适当 的 优先 级 进行 调用 ， 那 么 程序 就 出 错 了 。 通过 适当 的 测试 和 /或 静态 程序 分 
析 ， 最 终 必 须 预 防 这 种 情况 的 发 生 。 

A [Ceiling Locking, 一 个 有 效 的 实现 将 使 用 调用 任务 的 线程 ， 不 仅 去 执行 保护 调 
用 的 代码 ， 还 要 执行 由 原来 的 调用 动作 偶然 启动 的 任何 其 他 任务 的 代码 。 例 如 ， 考虑 如 下 简 
单 的 保护 对 象 : 

protected Gate Control is 

pragma Priority(28); 
entry Stop_And Close; 
procedure Open; 

private 

Gate: Boolean := False; 
end Gate Control; 

protected body Gate Control is 

entry Stop And Close when Gate ig 
begin 

Gate :- False; 
end Stop And Close; 
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procedure Open is 
begin 
Gate := True; 
end Open; 
end Gate Control; 


假设 有 一 个 任务 T， 优 先 级 为 20， 它 调用 Stop_And_Close， 并 被 阻塞 。 稍 后 ,任务 8 ( 优 
先 级 27) 调用 0pen。 实 现 S 的 线程 将 采取 下 列 动作 : 

1) 为 8 执行 Open 的 代码 。 

2) 计算 入 口 的 屏障 ， 并 注意 到 T 现 在 可 以 继续 前 进 。 

3) 为 fT 执行 Stop_And_close 代 码 。 

4) 再 次 计算 入 口 的 屏障 。 

5) 在 调用 了 保护 对 象 后 ，s 继 续 执 行 。 
结果 ,没有 上 下 文 切 换 。 另 一 可 选 办 法 是 s 使 T 在 第 (2) 点 时 变 成 可 运行 的 ， 现在 T 有 一 个 比 
S 高 的 优先 级 (28)， 因 此 系统 必须 切换 到 T， 从 而 在 Gate_control 内 完成 它 的 执行 。 AMT 
离开 后 ， 需 要 切换 回 S。 这 种 方法 开销 更 高 。 

当 一 个 任务 进入 一 个 保护 对 象 时 ， 它 的 优先 级 可 以 上 升 到 由 Priority 或 Tnterrupt_ 
Priority 编 用 定义 的 基础 优先 级 之 上 。 用 于 决定 分 派 顺序 的 优先 级 是 任务 的 活跃 优先 级 。 这 
个 活跃 优先 级 是 任务 的 基础 优先 级 和 它 继承 的 优先 级 中 的 最 大 值 。 

保护 对 象 的 使 用 是 任务 继承 较 高 活跃 优先 级 的 方法 之 一 ， 还 有 其 他 方法 ， 例如 : 

* 在 激活 期 间 一 一 一 个 任务 将 继承 创建 它 的 父 任务 的 活跃 优先 级 ， 记 住 父 任务 这 时 被 阻塞 ， 

等 待 它 的 子 任务 的 完成 ， 这 可 能 是 没有 这 条 继承 规则 时 优先 级 反 转 的 一 个 来 源 。 
* 在 会 合 期 间 一 一 执行 接收 语句 的 任务 将 继承 发 出 入 口 调用 的 任务 的 活跃 优先 级 (如果 该 
优先 级 较 大 )。 

注意 最 后 一 种 情况 不 一 定 排除 优先 级 反 转 的 所 有 可 能 情况 。 考虑 一 个 服务 器 任务 S， 它 有 人 口 
E 和 基础 优先 级 IL ( 低 的 )。 一 个 高 优先 级 任务 调用 了 。 一 旦 会 合 已 经 开始 ，s 将 以 更 高 的 优先 
级 执行 。 但 是 在 S 到 达 E 的 接收 语句 之 前 ， 它 将 以 工 优先 级 执行 《即使 高 优先 级 任务 被 阻塞 ) 。 
这 个 方法 和 其 他 优先 级 继承 方法 可 以 被 实现 支持 。 然而 ， 这 种 实现 必须 提供 一 个 编 用 ， 用 户 
能 利用 它 去 明确 地 选择 补充 的 条 件 。 

实时 系统 附件 试图 提供 灵活 和 可 扩展 的 特性 。 很 明显 ， 这 是 不 容易 的 。Ada 83 受 害 于 规 
定 太 多 。 但 是 ， 缺乏 一 个 确定 的 分 派 策略 是 令 人 遗憾 的 ， 因为 它 不 能 对 软件 开发 和 可 移植 性 
提供 帮助 。 如 果 基 础 优先 级 已 经 被 定义 了 ， 那么 就 假设 它 采用 基于 优先 级 的 抢占 式 调度 。 在 
多 处 理 器 系统 中 ， 由 实现 定义 调度 是 在 每 个 单 处 理 器 的 基础 上 还 是 跨越 整个 处 理 器 竹 . 

为 了 给 出 可 扩展 性 ， 分 派 策略 可 以 使 用 以 下 编 用 来 选择 : 

pragma Task_Dispatching Policy(Policy Identifier); 

实时 系统 附件 试图 定义 一 个 可 能 的 策略 : FIFO_Within_Priority。 这 里 ， 任 务 共享 
同样 的 优先 级 ， 它 们 按 FIFO 顺 序 排队 。 因 此 ， 当 任 务 变 为 可 运行 时 ， 它 们 被 放 到 该 优先 级 别 
的 假想 运行 队列 的 队 尾 。 这 种 情况 的 一 种 例外 是 当 一 个 任务 被 抢占 时 ， 这 时 该 任务 被 放 在 那 
个 优先 级 别 的 假想 运行 队列 的 前 面 。 | 

如 果 一 个 程序 指定 了 Fifo_Within Priority, 那么 它 也 必须 选择 在 前 面 定义 的 
Ceiling_Locking 策 略 。 总 之 ， 它们 代表 了 一 个 一 致 的 和 可 用 的 模型 ， 用 于 建造 、 实 现 和 
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分 析 实 时 程序 。 

其 他 Ada 设 施 

Ada 还 提供 了 其 他 设施 ， 这 些 设施 对 于 各 种 各 样 的 系统 的 编程 是 很 有 用 的 。 例 如 ， 动 态 优 
先 级 、 有 优先 级 的 人 口 队列 、 任 务 属性 、 异 步 任务 控制 设施 等 等 。 读 者 可 以 参考 Ada 参 考 手 册 
的 系统 编程 和 实时 附件 或 文献 Burns and Wellings (1998)， 以 了 解 更 多 细节 。 

目前 ，Ada 不 支持 偶发 服务 器 。 但 是 可 以 参看 Harbour 等 (1998) 关于 如 何 近 似 实现 偶发 
服务 器 的 讨论 。 

13.14.2 POSIX 

POSIX 支 持 基 于 优先 级 的 调度 ， 可 以 选择 支持 优先 级 继承 和 高 限 协议 。 优 先 级 可 以 动态 
设置 。 在 基于 优先 级 的 设施 方面 ， 有 四 个 策略 : 

“FIFO 一 一 进程 /线程 运行 直到 它 完 成 或 被 阻塞 ， 如 果 进 程 /线程 被 一 个 更 高 优先 级 的 进程 / 

线程 抢占 ， 那 么 它 被 放 在 它 的 优先 级 所 在 运行 队列 的 头 部 。 

“轮转 (round-robin) 一 一 进程 /线程 运行 直到 它 完成 或 被 阻塞 或 它 的 时 间 片 到 期 ， 如 果 进 

程 /线程 被 更 高 优先 级 进程 抢占 ， 它 被 放 在 它 的 优先 级 所 在 运行 队列 的 队 头 ; 但 是， 如 

果 它 的 时 间 片 到 期 ， 它 被 放 到 队 尾 。 

* 偶发 服务 器 一 一 进程 /线程 作为 偶发 服务 器 运行 ( 见 下 面 )。 

* 其 他 一 一 由 实现 定义 的 策略 (必须 形成 文档 )。 

对 于 每 一 个 调度 策略 ， 都 有 一 个 必须 支持 的 最 小 优先 级 范围 ， 对 于 FIFO 和 轮转 ， 优 先 级 
范围 至 少 是 32。 调 度 策略 可 以 按 每 进程 或 按 每 线程 为 基础 进行 设置 。 

线程 也 可 以 用 “系统 争 用 ”方式 创建 ， 这 时 它们 根据 它们 的 策略 和 优先 级 同 其 他 系统 线 
程 竞 争 。 另 一 种 方法 是 ， 线 程 可 以 用 “进程 争 用 ”方式 创建 ， 在 这 种 情况 下 ， 它 们 必须 同 父 
进程 中 的 其 他 线程 (用 “进程 争 用 ”创建 的 ) 竞争 。POSIX 系 统 没有 规定 这 些 线程 相对 于 其 
他 进程 中 的 线程 或 者 相对 于 全 局 争 用 的 线程 是 如 何 调度 的 。 特 定 的 实现 必须 决定 是 否 支 持 
“系统 争 用 ”或 “进程 争 用 ”或 两 者 都 支持 。 

如 同 在 13.8.2 节 讨论 的 ， 偶 发 服务 器 分 配 一 个 限定 量 的 CPU 容量 去 处 理事 件 ， 它 有 一 个 补 
充 周期 、 一 个 预算 和 两 个 优先 级 。 当 服务 器 有 某 些 预算 剩余 时 ， 它 运行 在 高 优先 级 ， 预 算 用 
尽 后 运行 在 低 优先 级 。 当 服务 器 运行 在 高 优先 级 时 ， 从 预算 中 减 去 它 消耗 的 执行 时 间 量 。 在 
服务 器 被 激活 时 以 及 在 补充 周期 ， 消 耗 的 预算 被 补充 。 当 服务 器 的 预算 到 达 0 时 ， 它 被 设 为 低 
优先 级 。 

程序 13-1 说 明了 C 到 POSIX 调 度 设施 的 接口 。 这 些 函数 被 分 为 两 部 分 ， 一 部 分 用 于 操纵 进程 
的 调度 策略 和 参数 ， 另 一 部 分 用 于 操纵 线程 的 调度 策略 和 参数 。 如 果 一 个 线程 修改 了 它 自己 进 
程 的 策略 和 参数 ， 对 线程 的 影响 将 依赖 于 它 的 争 用 范围 (或 级 别 )。 如 果 它 正在 系统 级 别 上 竞争 ， 
这 种 改变 将 不 会 影响 该 线程 。 但是， 如 果 它 正在 进程 的 级 别 上 竞争 将 会 对 该 线程 有 影响 


程序 13-1 C 到 一 些 POSIX 调 度 设施 的 典型 接口 


#define SCHED FIFO ... /* 抢占 优先 级 调度 */ 

#define SCHED RR ... /* 带 时 间 片 的 抢占 优先 级 */ 
#define SCHED SPORADIC ... /* 偶发 服务 器 */ 

#define SCHED OTHER ... /* 实现 定义 的 调度 程序 */ 


#define PTHREAD SCOPE SYSTEM ... /* 系统 级 争 用 */ 
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#define PTHREAD SCOPE PROCESS ... /* 局 部 争 用 */ 


#define PTHREAD PRIO NONE ... /* 无 优先 级 继承 */ 
#define PTHREAD PRIO INHERIT ... /* 基本 优先 级 继承 */ 
#define PTHREAD PRIO PROTECT ... /* ICPP */ 


typedef ... pid t; 
Struct sched param ( 


int sched priority; /* 用 于 SCHED FIFO 和 SCHED RR */ 
int sched ss low priority 

timespec sched ss repl period 

timespec sched ss init budget 

int sched ss max repl 


- 


int sched_setparam (pid_t pid, const struct sched_param *param); 
/* 设置 进程 pid 的 调度 参数 * / 

int sched_getparam(pid_t pid, struct sched_param *param); 

/* 获取 进程 pid 的 调度 参数 */ 

int sched setscheduler(pid t pid, int policy, 


const struct sched param *param); 


/* 设置 进程 pid 的 调度 策略 和 参数 */ 


int sched_getscheduler(pid_t pid); 
/* 返回 进程 pid 的 调度 策略 */ 


int sched_yield(void); 


/* 将 当前 线程 /进程 放 在 运行 队列 的 队 尾 x/ 


int sched get priority max(int policy); 


/* 返回 指定 策略 的 最 大 优先 级 */ 


int sched get priority min(int policy); 


/* 返回 指定 策略 的 最 小 优先 级 */ 


“int sched_rr_get_interval(pid_t pid, struct timespec *t); 
/* 如 果 pid /= 0， 在 由 t 引 用 的 结构 中 为 调用 进程 /线程 设置 时 间 片 */ 
/* 如 果 pid = 0, 在 由 t 指 向 的 结构 中 为 调用 进程 /线程 设置 时 间 片 */ 


int pthread attr setscope (pthread_attr_t *attr, 
int contentionscope); 


/* 为 一 个 线程 属性 对 象 设 置 争 用 作用 域 属性 */ 


int pthread attr_getscope(const pthread attr t *attr, 
int *contentionscope); 


/* 获取 一 线程 属性 对 象 的 争 用 作用 域 */ 


int pthread_attr_setschedpolicy(pthread_attr_t *attr, 
int policy); 
/* 为 一 个 线程 属性 对 象 设置 调度 策略 属性 */ 
int pthread_attr_getschedpolicy(const pthread_attr_t *attr, 
int *policy); 


/* 获取 一 线程 属性 对 象 的 调度 策略 属性 */ 


int pthread_attr setschedparam(pthread attr ¢ *attr, 
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const struct sched param *param); 
/* 为 一 个 线程 属性 对 象 设置 调度 参数 属性 */ 


int pthread_attr_getschedparam(const pthread_attr_t *attr, 
struct sched param *param); 


/* 获取 一 线程 属性 对 象 的 调度 参数 属性 */ 


int pthread mutexattr setprotocol(pthread mutexattr t *attr, 
int protocol); 

/* 设置 优先 级 继承 协议 */ 

int pthread mutexattr getprotocol(pthread mutexattr t *attr, 
int *protocol); 


/* 获取 做 先 级 继承 协议 */ 
int pthread mutexattr setprioceiling(pthread mutexattr t *attr, 
int prioceiling); 

/* 设置 高 限 优先 级 */ 

int pthread_mutexattr_getprioceiling(pthread_mutexattr_t *attr, 
i int *prioceiling); 

/* 获取 高 限 优先 级 * / 

/* 除 sched get priority max 和 Sched get priority minh, */ 

/* 所 有 上 述 函 数 如 果 成 功 的 话 ， 返 回 0*/ 


———————————————————— M 
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的 优先 级 继承 ， 也 支持 立即 高 限 优先 级 协议 (在 POSIX 中 叫做 优先 级 保护 协议 )。 


其 他 POSIX 设 施 

POSIX 提 供 了 其 他 对 实时 系统 有 用 的 设施 。 例 如 ， 它 允许 : 
。 消 息 队 列 按 优 先 级 排序 ; 

* 有 动态 获取 和 设置 线程 优先 级 的 函数 ; 

* 线程 可 以 指定 它 的 属性 是 否 可 被 它 的 子 线程 继承 。 


13.14.3 实时 Java 


实时 Java 有 可 调度 对 象 的 概念 。 这 个 对 象 可 以 是 支持 程序 13-2 里 面 给 出 的 schedulable 接 口 


的 任何 对 象 。 类 RealtimeThread.、 NoHeapRealTimeThread l]  #AsyncEventHandler 
都 支持 这 个 接口 ， 这 些 类 的 对 象 都 有 调度 参数 ( 见 程序 13-3)。 实 时 Java 的 实现 必须 至 少 支持 28 个 
实时 优先 级 级 别 。 与 Ada 语 言 和 POSIX-- 样 ， 整 数值 越 大 ， 优先 级 越 高 (因而 有 更 高 的 执行 资格 )。 
非 实 时 线程 被 给 予 的 优先 级 在 最 小 的 实时 优先 级 之 下 。 注 意 ， 线 程 的 调度 参数 在 创建 线程 时 被 限 
定 (参看 程序 12-11)。 如 果 参 数 被 改变 了 ， 对 关联 的 线程 会 有 立即 的 影响 。 


程序 13-2 实时 Java 的 Schedulable 接 口 


public interface Schedulable extends java.lang.Runnable 
{ 


public void addToFeasibility(): 
public void removeFromFeasibility(); 


public MemoryParameters getMemoryParameters(); 


public void setMemoryParameters (MemoryParameters memory); 


public ReleaseParameters getReleaseParameters(); 
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public void setReleaseParameters (ReleaseParameters release); 


public SchedulingParameters getSchedulingParameters(); 
public void setSchedulingParameters(SchedulingParameters scheduling); 


public Scheduler getScheduler(); 
public void setScheduler(Scheduler scheduler); 


) 
eee 


程序 13-3 实时 Java 的 SchedulingParameters 类 及 其 子 类 


public abstract class SchedulingParameters 


{ 
public SchedulingParameters(); 


} 


public class PriorityParameters extends SchedulingParameters 
{ 


public PriorityParameters (int priority); 


public int getPriority(); 
public void setPriority(int priority) throws 
IllegalArgumentException; 


) 


public class ImportanceParameters extends PriorityParameters 
1 


public ImportanceParameters(int priority, int importance); 
public int getImportance(); 
public void setImportance(int importance); 


) 


与 Ada 和 实时 POSIX 一 样 ， 实时 Java 支 持 基于 优先 级 的 抢占 式 分 派 策略 。 但 是 ， 不 同 于 
Ada 和 实时 POSIX 的 是 ， 实时 Java 不 需要 将 被 抢占 线程 放 在 同 其 优先 级 相关 的 运行 队列 的 开头 ， 
实时 Java 也 支持 一 个 高 级 调度 程序 ， 它 的 目的 县: 

“根据 可 利用 的 资源 和 可 行 性 算法 决定 是 否 允 许 新 的 可 调度 对 象 进入 。 

。 根据 与 可 行 性 算法 相关 的 优先 级 分 配 算法 来 设置 可 调度 对 象 的 优先 级 。 

所 以 ，Ada 与 实时 POSIX 关 注 于 静态 脱 机 可 调度 性 分 析 ， 而 实时 Java 更 多 地 致力 于 动态 系 
统 的 联机 分 析 。 

程序 13-4 中 给 出 了 抽象 类 Scheduler。 方法 isFeasible 只 考虑 已 添加 至 它 的 可 行 性 列 
表 中 的 (通过 方法 addToFeasibility 和 removeFromFeasibility) 可 调度 对 象 的 集合 。 
当 给 定 对 象 的 启动 和 存储 参数 改变 时 ， 方法 changeIfFeasible 检 查 它 的 对 象 集合 是 否 依 
然 可 行 ， 如 果 可 行 ， 参 数 才 能 被 改变 。 静态 方法 允许 查询 或 设置 默认 的 调度 程序 ，。 


程序 13-4 实时 Java 的 类 Scheduler 


Public abstract class Scheduler 
{ 
public Scheduler(); 





} 


ee 
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protected abstract void addToFeasibility(Schedulable schedulable); 
protected abstract void removeFromFeasibility(Schedulable schedulable); 


public abstract boolean isFeasible(); 


// 检 查 当 前 可 调度 对 象 的 集合 


public boolean changeIfFeasible(Schedulable schedulable, 
ReleaseParameters release, MemoryParameters memory); 


public static Scheduler getDefaultScheduler(); 
public static void setDefaultScheduler(Scheduler scheduler); 


public abstract java.lang.String getPolicyName(); 


类 Schedulezr 的 一 个 已 定义 子 类 是 类 Priorityscheduler ( 在 程序 13-5 中 定义 ), © 
实现 了 标准 的 基于 优先 级 的 抢占 式 调度 。 


程序 13-5 ”实时 Java 的 类 PriorityScheduler 


class PriorityScheduler extends Scheduler 


{ 


public PriorityScheduler() 


protected void addToFeasibility(Schedulable 8); 
protected void removeFromFeasibility(Schedulable 8); 


public boolean isFeasible(); 


// 检 查 当前 可 调度 对 象 的 集合 


public boolean changeIfFeasible(Schedulable Schedulable, 
ReleaseParameters release, MemoryParameters memory); 


protected void addToFeasibility(Schedulable 8); 
protected void removeFromFeasibility(Schedulable 8); 


public void fireSchedulable(Schedulable Schedulable); 


public int getMaxPriority(); 
public int getMinPriority(); 
public int getNormPriority(); 
public java.lang.String getPolicyName(); 


public static PriorityScheduler instance(); 


eee 


必须 再 次 强调 的 是 : 实时 Java 不 需要 实现 提供 联机 的 可 行 性 算法 。 测 试 可 行 性 的 方法 简 
单 地 返回 false 就 足够 了 。 


程序 13-6 支持 优先 级 继承 的 实时 Java 类 


Public abstract class MonitorControl 


{ 


Public MonitorControl(); 


public static void setMonitorControl(MonitorControl policy); 
// 设置 默认 值 
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public static void setMonitorControl(java.lang.Object monitor, 
MonitorControl policy); 


// 设置 单个 对 象 策略 
} 
public class PriorityCeilingEmulation extends MonitorControl 
{ 


public PriorityCeilingEmulation(int ceiling); 


public int getDefaultCeiling(); 
// 获取 此 对 象 的 高 限 
} 


public class PriorityInheritance extends MonitorControl 


{ 


public PriorityInheritance(); 


public static PriorityInheritance instance O: 
} - 
je 
对 优先 级 继承 的 支持 
当 访问 同步 类 时 ， 实 时 Java 人 允许 使 用 优先 级 继承 算法 。 为 了 达到 这 个 目的 ,定义 了 三 个 
类 ( 见 程序 13-6)。 考 虚 下 面 的 类 : 
public class SynchronizeClass 
{ 
public void Methodl() ( ... ); 
public void Method2() ( ... ); 
) 


这 个 类 的 一 个 实例 能 够 通过 下 列 代码 让 它 的 控制 协议 设置 将 立即 高 限 优先 级 继承 (在 实时 
Java 里 称 为 高 限 优先 级 仿真 ) 的 优先 级 设置 为 10。 


SynchronizeClass SC = new SynchronizeClass(); 
PriorityCeilingEmulation PCI = new PriorityCeilingEmulation(10); 


MonitorControl.setMonitorControl (SC, PCI); 


13.14.4 实时 Java 的 其 他 设施 

必须 注意 ， 在 实时 Java 里 所 有 的 队列 是 按 优先 级 排序 的 ， 这 一 点 很 重要 。 

实时 Java 中 值得 一 提 的 一 个 设施 是 ， 它 用 进程 组 的 形式 提供 对 非 周 期 线程 的 支持 。_ 组 非 
周期 线程 能 够 被 连接 在 一 起 ， 并 被 赋 于 有 助 于 可 行 性 分 析 的 特性 ， 例 如 ， 能 够 定义 线程 在 一 
个 给 定 的 周期 内 能 消耗 不 超过 cost 的 CPU 时 间 。 支 持 进程 组 的 类 的 完整 定义 在 附录 里 给 出 。 


小 结 


一 个 调度 方案 有 两 个 方面 : 它 定义 一 个 共享 资源 的 算法 ， 以 及 一 个 在 使 用 那 种 资源 共享 
方式 时 预测 应 用 程序 在 最 坏 情况 下 行为 的 手段 。 

大 多 数 当前 的 周期 性 实时 系统 的 实现 都 使 用 循环 执行 方法 。 基 于 这 一 方法 ， 应 用 程序 代 
名 必须 被 打包 成 国定 数目 的 “小 循环 "， 这 样 的 小 循环 序列 ( 称 为 大 循环 ) 的 循环 执行 将 使 所 
有 的 时 限 得 到 满足 。 尽 管 对 小 型 系统 而 言 它 是 一 个 有 效 的 实现 策略 ， 但 是 这 种 循环 执行 方法 
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仍 有 几 个 缺陷 : . 

。 随 着 系统 的 增长 ， 小 循环 的 打包 变 得 越 来 越 困 难 。 

。 很 难 容纳 偶发 活动 。 

。 长 周期 ( 那 就 是 ， 比 大 循环 还 要 长 ) 进程 不 能 得 到 有 效 支持 。 

。 有 长 计算 时 间 的 进程 必须 分 解 ， 以 便 它 们 能 被 打包 成 一 系列 小 循环 。 

。 循 环 执行 的 结构 使 它 很 难 改变 以 容纳 变化 着 的 需求 。 

因为 这 些 困难 ， 本 章 主要 关注 基于 优先 级 的 调度 方案 的 使 用 。 描 述 了 一 个 简单 的 基于 利 
用 率 的 测试 ( 它 只 可 应 用 于 受 限 的 进程 模型 ) 之 后 ， 为 一 个 灵活 的 模型 推导 出 了 响应 时 间 计 
算 方法 。 这 个 模型 能 容纳 偶发 进程 、 进 程 交互 、 非 抢占 式 的 段 、 启 动 抖动 、 非 周期 服务 器 、 
容错 系统 ， 以 及 进程 时 限 (D) 和 它 的 最 小 到 达 间 隔 (T). 之 间 的 任意 关系 。 

进程 之 间 的 同步 (例如 ， 互 斥 访问 共享 数据 ) ， 可 能 导致 优先 级 反 转 ， 除 非 使 用 某 种 优先 
级 继承 。 本 章 详细 描述 了 两 个 具体 协议 .原始 高 限 优先 级 协议 和 立即 高 限 优先 级 协议 。 

对 于 基于 优先 级 的 调度 来 说 ， 分 配 优先 级 以 反映 进程 加 载 的 时 序 特性 是 非常 重要 的 。 在 
本 章 描述 了 以 下 三 种 算法 : 

* 对 D=T， 使 用 速率 单调 算法 

。 对 D<T， 使 用 时 限 单调 算法 

， 对 D>T， 使 用 任意 算法 

本 章 以 Ada、 实 时 Java 和 实时 POSIX 为 例 说 明 如 何 实现 固定 优先 级 调度 结束 。 
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练习 


13.1 有 三 个 逻辑 进程 P、Q 和 S， 它 们 分 别 有 下 列 特性 : P: 运行 周期 为 3， 所 需 运行 时 间 为 1; 
Q: 运行 周期 为 6， 所 需 运 行 时 间 为 2; S: 运行 周期 为 18， 所 需 运 行 时 间 为 5。 

说 明 如 何 用 速率 单调 调度 算法 调度 这 些 进程 。 
说 明 如 何 构造 一 个 循环 执行 来 实现 这 三 个 逻辑 进程 。 

13.2 考虑 三 个 进程 P、Q 和 S。P 的 周期 为 100ms， 所 需 处 理 时 间 为 30ms; Q 和 S 的 相应 值 是 (5， 
1) 和 (25，5)。 假 设 P 是 本 系统 中 最 重要 的 进程 ， 其 次 是 S， 再 次 是 Q。 

(1) 如 果 优 先 级 是 基于 重要 性 的 ， 调 度 程序 的 行为 是 怎样 的 ? 
(2) 进程 P、Q 和 S 的 处 理 器 利用 率 是 多 少 ? 
(3) 应 如 何 调度 这 些 进程 以 满足 所 有 的 时 限 ? 
《4) 写 出 一 个 能 调度 这 些 进程 的 调度 方案 。 

13.3 给 上 一 题 的 进程 集合 加 入 第 四 个 进程 (R). 这 个 进程 的 运行 故障 不 会 导致 对 系统 安全 的 
破坏 。R 的 周期 为 50ms ,但 有 一 个 依赖 于 数据 的 处 理 需 求 ， 并 且 处 理 时 间 在 5 ~ 25ms 之 间 
变化 。 论 述 如 何 将 R 进 程 与 、Q 和 S 集 成 起 来 。 

13.4 图 13-11 给 出 了 4 个 周期 性 进程 w、x、y、z 的 行为 。 这 些 进 程 根据 速率 单调 方案 确定 的 优 
先 级 为 : 优先 级 (w) > 优先 级 (x) > 优先 级 (y) > 优先 级 (z). 


S T 
012345678 9 10 1112 13 14 15 16 17 18 19 20 


时 间 | ———À— — ——— — — 


图 13-11 练习 13.4 中 四 个 周期 性 进程 的 行为 


每 个 进程 的 周期 都 在 S 时 刻 开 始 ，T 时 刻 终止 。 4 个 进程 共享 2 个 被 二 元 信号 量 A 和 B 保 
护 的 资源 。 图 中 标记 A (和 B) 意味 着 在 信号 量 上 执行 等 待 操作 ”; 标记 A' (和 B') 意 
味 着 “在 信号 量 上 执行 发 信号 操作 "。 表 13-16 概 括 了 4 个 进程 的 需求 。 

图 13-11 显 示 了 4 个 进程 根据 静态 优先 级 执行 的 历史 纪录 。 例如 : x 开始 于 时 刻 2， 时 
刻 3 时 在 B 信 号 量 上 成 功 地 执行 了 等 待 操作 ， 但 却 在 时 刻 4 执 行 等 待 信号 量 A 操 作 失败 (z 
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已 经 锁 住 了 A)。 在 时 刻 13 时 x 再 次 执行 《这 次 它 锁 住 了 A)， 它 在 时 刻 14 时 释放 了 A， 在 时 
刻 15 时 释放 了 B。 这 时 它 被 进程 w 抢 占 ， 但 它 在 时 刻 16 再 次 执行 ， 最 后 在 时 刻 17 结 束 。 


表 13-16 练习 13.4 中 进程 需求 概要 





进 程 fu 先 级 启动 时 间 所 需 处 理 器 时 间 所 用 信和 号 量 
w 10 7 4 A, B 
x 8 2 5 A, B 
y 5 4 
z 4 0 5 A 


eee -~ 
如 有 使 用 优先 级 继承 ， 重 画 该 练习 所 给 的 图 ， 显 示 出 这 些 进程 的 行为 。 

13.5 如 采 使 用 立即 高 限 优先 级 继承 ， 重 画 上 一 题 所 给 的 图 ， 显 示 出 这 些 进程 的 行为 。 

13.6 使 用 高 限 优先 级 协议 ， 可 以 计算 出 任 一 进程 被 优先 级 较 低 的 进程 所 阻塞 的 最 长 时 间 。 计 
算 这 种 阻塞 的 规则 是 什么 ? 通过 计算 下 面 例子 中 进程 的 最 长 阻塞 时 间 , 说 明 上 述 的 规则 。 
一 个 程序 包含 5 个 进程 ,a、b、c、d、e (它们 按 优先 级 由 高 到 低 排 列 ) ， 有 6 个 资源 R1， 
…R6 (由 实现 高 限 优先 级 协议 的 信号 量 加 以 保护 )。 表 13-17 给 出 访问 这 些 资源 时 最 坏 情 
况 的 运行 时 间 。 

表 13-17 练习 13.6 中 进程 的 执行 需求 概要 

及 1 R2 R3 R4 RS R6 


S0ms 150ms 75ms 300ms 250ms 175ms 
表 13-18 给 出 了 进程 访问 资源 的 情况 。 
表 13-18 练习 13.6 中 进程 的 资源 需求 概要 


xo m 使 用 资源 
a R3 . 
b R1, R2 
c R3, R4, R5 
d R1, R5, R6 
e R2, R6 


13.7 使 用 式 (13-1) 给 出 的 简单 的 基于 利用 率 的 测试 ， 表 13-19 中 的 进程 是 可 调度 的 吗 ” 如 果 
使 用 响应 时 间 分 析 ， 该 进程 集 是 可 调度 的 吗 ? 


表 13-19 练习 13.7 中 进程 的 属性 概要 


8 和 m 其 执行 时 间 
一 一 和 时间。 


a 50 10 
b 40 10 
C 30 i 9 


13.8 使 用 式 (13-1)， 表 13-20 中 的 进程 集 不 是 可 调度 的 ， 由 于 进程 a 是 至 关 重 要 的 ， 它 必须 被 
分 配 最 高 的 优先 级 。 如 何 转换 这 个 进程 集 使 它 是 可 调度 的 呢 ? 注意 由 a 代 表 的 计算 仍然 必 
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须 给 予 最 高 优先 级 。 . 
313-20 练习 13.8 中 进程 的 属性 概要 
进 程 A 期 执行 时 间 重要 性 
a 60 10 高 
b 10 : 3 低 
C 8 2 低 


13.9 使 用 式 (13-1)， 表 13-21 所 给 的 进程 集 不 是 可 调度 的 ， 但 是 当 使 用 固定 优先 级 调度 时 ， 


所 有 时 限 都 满足 ， 请 解释 原因 。 
表 13-21 练习 13.9 中 进程 的 属性 概要 
进 程 周 期 执行 时 间 
a 75 35 


b 40 10 
C 20 5 





13.10 在 13.8 节 中 ， 将 偶发 进程 定义 为 有 一 个 最 小 到 达 时 间 间隔 。 通 常 偶 发 进程 的 到 达 都 是 爆 
发 式 的 。 修 改 式 〈13-4) 以 应 付 偶发 进程 的 爆发 到 达 ， 例 如 有 N 个 调用 紧 挨 着 周期 7 任意 
出 现 。 

13.11 扩充 上 述 对 付 偶发 进程 爆发 到 达 的 解决 方法 ， 此 时 在 周期 7 内 有 N 个 调用 ， 并 且 每 一 个 
调用 被 至 少 M 个 时 间 单位 隔 开 。 

13.12 在 本 章 中 给 出 的 响应 时 间 公 式 能 够 应 用 于 除 CPU 之 外 的 哪些 资源 例如， 该 公式 能 否 用 
于 存 取 磁 盘 的 调度 ? 

13.13 在 安全 至 上 的 实时 系统 中 ， 一 组 进程 能 用 于 监视 关键 的 环境 事件 。 通常， 在 一 个 事件 的 
发 生 和 输出 (对 这 个 事件 的 响应 ) 之 间 规定 一 个 时 限 。 描 述 怎样 将 周期 进程 用 干 监测 这 
样 的 事件 。 

13.14 考虑 表 13-22 中 所 列 的 所 有 事件 和 响应 每 个 事件 的 计算 开销 。 如 果 每 个 事件 用 一 个 独立 
进程 来 处 理 ( 用 基于 优先 级 的 抢占 式 调度 方法 来 调度 这 些 进程 )， 描 述 怎样 应 用 速率 单 
调 分 析 去 保证 所 有 的 时 限 得 到 满足 。 

表 13-22 练习 13.14 中 的 事件 概要 
x 件 时 R . 计算 时 间 

36 

24 

10 

48 

12 1 

| 

13.15 表 13-23 中 的 进程 集 如 何 能 被 最 优 地 调度 (使 用 固定 优先 级 调度 ) ? 这 个 任务 集 是 可 调 
度 的 吗 ? 

13.16 一 个 实时 系统 设计 师 希 望 在 同一 个 处 理 器 上， 混合 运行 安全 至 上 的 、 使 命 至 上 的 和 无 关 
紧要 的 周期 和 偶发 da 任务 。 他 (她 ) 使 用 基于 优先 级 的 抢占 式 调度 ， 已 经 运用 响应 时 
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间 分 析 公式 预测 所 有 任务 能 满足 它们 的 时 限 。 给 出 原因 说 明 为 什么 系统 在 运行 时 仍然 可 
能 错过 它 的 时 限 。 给 Ada 运 行 时 支持 系统 提供 什么 增强 设施 才能 帮助 消除 这 个 问题 ? 


表 13-23 练习 13.15 中 的 任务 概要 


x g T c B D 
a 8 4 2 8 
b 10 2 2 5 
c 30 5 2 30 





13.17 说 明 在 Ada 中 如 何 实现 最 早 时 限 优 先 调度 。 


13.18 用 代码 说 明 Ada 怎 样 支持 偶发 任务 。 一 个 任务 怎样 才能 保护 自己 ， 避 免 执 行 频率 超过 最 
小 到 达 间 隔 。 
13.19 能 用 Ada 实 现 偶 发 服务 器 的 哪些 方面 ? 
13.20 Ada 允 许 使 用 下 列 的 包 对 任务 的 基础 优先 级 进行 动态 设置 。 
with Ada.Task Identification; 
with System; 
package Ada.Dynamic_Priorities is 
procedure Set_Priority(Priority : System.Any Priority; 
T : Ada.Task Identification.Task Id := 
Ada.Task Identification.Current Task); 
-- 如 果 了 是 Null Task Id , Z[/£Program Error 
-- 如 果 此 任务 已 终止 ， 无 任何 作用 


function Get Priority (T : Ada.Task Identification.Task Id :- 


Ada.Task Identification.Current Task) 
return System.Any Priority; 
-- 如 果 此 任务 已 终止 ,引发 Tasking_Error 
-- 或 者 如 果 T 是 Null Task Id, 
private 
De -- 此 问题 不 需要 


end Ada.Dynamic Priorities; 


引发 Program Error 


用 这 个 包 说 明 如 何 实现 一 个 模式 改变 协议 ， 该 协议 要 求 一 组 任务 必须 用 单个 的 原子 操作 
来 改变 它们 的 优先 级 。 


1321 实时 POSIX 支 持 动态 高 限 优先 级 ， 但 是 Ada 不 支持 。 解 释 支持 动态 高 限 优先 级 的 赞成 与 
反对 的 理由 。 


13.22 实时 Java 调 度 程 序 能 使 用 ProcessingGroupParameters 支持 偶发 服务 器 的 哪些 方 
面 ? 


13.23 说 明 如 何 才能 在 实时 Java 中 利用 “所 有 进程 的 利用 率 小 于 100%” 的 可 行 性 测试 来 实现 “5 
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第 14 章 ”分布 式 系统 


14.1 分 布 式 系统 的 定义 14.6 分 布 式 算法 

14.2 论题 一 览 14.7 分 布 式 环境 中 的 时 限 调度 
14.3 语言 支持 小 结 

14.4 分 布 式 编程 系统 和 环境 相关 阅读 材料 

14.5 可 靠 性 | 练习 





在 过 去 30 年 里 ， 微 处 理 器 和 通信 技术 的 价格 持续 下 降 ， 这 使 得 分 布 式 计算 机 系统 在 许多 
伐 和 人 式 应 用 领域 里 成 为 单 处 理 器 和 集中 式 系统 的 可 行 替代 选择 。 分 布 式 系统 的 潜在 优点 有 : 

* 通过 利用 并 行 性 改善 性 能 

* 通过 利用 元 余 提 高 可 用 性 和 可 靠 性 

* 将 计算 能 力 分 散 到 使 用 它 的 地 方 

* 通过 处 理 器 和 通信 和 链 的 添加 和 增强 而 逐步 增长 的 便利 

本 章 讨论 一 些 在 使 用 多 个 处 理 器 实现 实时 系统 时 带 来 的 问题 。 


14.1 分 布 式 系统 的 定义 


针对 本 章 的 目的 ， 分 布 式 计算 机 系统 被 定义 成 “为 了 一 个 共同 目的 或 实现 一 个 共同 目标 
的 多 个 自治 处 理 元 素 合作 的 系统 "。 这 个 定义 宽 得 足以 符合 大 多 数 直 观 概念 ， 而 不 会 详细 到 物 
理 上 的 散布 情况 、 通 信 手 段 等 等 的 细节 。 这 个 定义 排除 了 流水 线 式 处 理 器 和 阵列 式 处 理 器 ， 
因为 它们 的 元 素 不 是 自治 的 ; 也 排除 了 计算 机 网 络 (例如 因特网 ) ， 因 为 它们 的 节点 工作 无 共 
同 目的 9。 那 些 被 人 们 认为 是 微 处 理 器 体系 结构 的 大 多 数 应 用 落 入 此 定义 的 范围 之 内 -例如 
指挥 控制 、 银 行 (和 其 他 面向 事务 的 商业 应 用 ) 和 数据 获取 。 图 14-1 展 示 了 一 个 分 布 式 制造 
系统 。 

即使 是 现代 飞机 设计 (包括 民用 和 军用 )， 也 拘 入 了 分 布 式 系 统 。 例 如 ， 集 成 模块 航空 电 
子 设备 (Integrated Modular Avionics) (AEEC, 1991) 通过 一 个 ARINC 629 总 线 允 许 将 一 个 
以 上 的 处 理 模块 互 连 ， 如 图 14-2 所 示 。 

通常 将 分 布 式 系统 分 为 紧密 耦合 的 〈 处 理 元 素 或 节点 访问 一 个 公共 存储 器 ) 和 松散 耦合 
的 (处 理 元 素 或 节点 不 访问 一 个 公共 存储 器 ) 两 种 。 这 种 分 类 的 重要 意义 在 于 : 在 紧密 耦合 
的 系统 中 ， 同步 和 通信 可 以 通过 基于 共享 变量 的 技术 实现 ， 而 在 松散 耦合 系统 中 ， 同 步 和 通 
信和 最 终 需 要 某 种 形式 的 消息 传递 ， 在 松散 耦合 系统 中 包含 一 些 自身 是 紧密 耦合 系统 的 节点 也 
是 许可 的 。 

本 章 中 , “分 布 式 系 统 ” 这 个 术语 是 指 松散 耦合 体系 结构 。 此 外 ， 一 般 假定 处 理 器 之 间 是 


O 然而 ， 随 着 通信 技术 的 持续 改善 ， 越 来 越 多 的 交互 式 网 络 上 的 工作 将 符合 分 布 式 系 统 的 这 个 定义 
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全 连通 的 一 同 消息 路 由 有 关 的 问题 不 予 考虑 ， 对 这 些 问题 的 全 面 讨论 ， 见 参考 文献 
(Tanenbaum，1998)。 此 外 ， 假 定 每 个 处 理 器 访问 它 自己 的 时 钟 ， 并 且 这 些 时 钟 是 松散 同步 
的 ( 即 允 许 它们 之 间 有 一 个 不 超过 某 个 界限 的 差 )。 


操纵 器 


机 床 






部 件 








处 理 器 
部 件 





图 14-1 分 布 嵌 入 式 制造 系统 


O 传感器 / 致 动 器 


图 14-2 民用 航空 电子 设备 分 布 能 人 式 系统 
有 一 个 基于 系统 中 处 理 器 多 样 性 的 单独 分 类 。 同 质 系统 是 所 有 处 理 器 都 是 同一 类 型 的 系 
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£e; 异 质 系统 则 包含 不 同类 型 的 处 理 器 。 异 质 系统 带 来 程序 和 数据 的 不 同 表示 问题 ， 这 些 问 
题 虽 有 重要 意义 ， 但 在 这 不 予 考 虚 。 本 章 假 设 所 有 处 理 器 是 同 质 的 。 


14.2 论题 一 览 


至 此 ， 本 书 中 “并 发 编程 ”这 个 词 已 用 于 讨论 通信 、 同 步 和 可 靠 性 ， 而 没有 太 多 涉及 过 
程 是 如 何 实现 的 。 然 而 ， 在 演 虚 分 布 式 应 用 时 提出 的 一 些 论题 会 引出 超出 实现 细节 的 根本 问 
题 。 本 章 的 目的 是 研究 这 些 论 题 和 它们 对 实时 系统 的 含义 。 它 们 是 : 

* 语言 支持 一 -如 果 语 言及 其 编程 环境 支持 分 布 式 应 用 的 划分 、 配 置 、 分 配 和 重 配置 ， 结 

合 以 对 远程 资源 的 同位 置 无 关 的 访问 ， 编 写 分 布 式 程序 的 过 程 就 会 容易 得 多 。 

aK 

余 。 虽 然 多 处 理 器 的 可 用 性 使 应 用 变 得 容许 处 理 器 失效 ， 也 引入 了 系统 中 发 生 更 多 故障 

的 可 能 性 ， 而 这 些 故 障 在 集中 式 单 处 理 器 系统 中 是 不 会 发 生 的 。 这 些 故 障 同 部 分 系统 故 

障 相关 ， 应 用 程序 要 么 必须 防止 它们 ， 要 么 能 够 容许 它们 。 

。 分 布 式 控制 算法 一 一 应 用 中 的 真正 并 行 性 、 物 理 上 分 布 的 处 理 器 以 及 处 理 器 和 通信 和 链 失 

效 的 可 能 性 的 出 现 ， 意 味 着 资源 控制 需要 许多 新 算法 。 例 如 ，、 可 能 需要 访问 存放 在 其 他 

机 器 上 的 文件 和 数据 ， 另 外 ， 机 器 或 网 络 失效 必须 不 损害 这 些 文件 和 数据 的 可 用 性 和 一 

致 性 。 还 有 ， 由 于 在 分 布 式 系统 内 常常 没有 公共 的 时 间 参 照 系 ， 每 个 节点 有 它 自己 的 局 

部 时 间 ， 因 而 很 难得 到 整个 系统 的 一 致 视图 。 当 试图 对 分 布 式 数据 提供 互 扩 时， 这 可 能 

会 带 来 问题 。 

* 时 限 调度 一 一 在 第 13 章 讨论 了 单 处 理 器 系统 满足 时 限 的 进程 调度 问题 。 当 进程 被 分 布 时 ， 

最 优 单 处 理 器 算法 不 再 是 最 优 的 ， 需 要 新 算法 。 
现在 依次 讨论 这 些 问 题 。 然 而 ， 在 一 章 里 难以 公平 对 待 这 些 领 域 里 的 所 有 新 活动 。 


14.3 语言 支持 


在 一 个 分 布 式 硬件 系统 上 执行 的 分 布 式 软件 系统 的 生成 ， 包 括 许多 单 处 理 器 生成 程序 时 
HABEGLR: 

* 划分 一 将 系统 划分 成 为 部 件 (分 布 的 单位 ) 的 过 程 ， 使 这 些 部 件 适 合 于 安放 在 目标 系 

统 的 处 理 元 素 上 。 

* 配置 一 将 程序 划分 出 来 的 部 件 同 目标 系统 的 特定 处 理 元 素 相关 联 。 

“分 配 一 -将 已 配置 系统 调整 成 可 执行 模块 并 下 载 它们 到 目标 系统 的 处 理 元 素 的 实际 过 程 。 

* 透明 执行 一 -分布 式 软件 的 执行 ， 对 远程 资源 能 以 一 种 与 位 置 无 关 的 方式 访问 。 

“ 重 配置 一 对 软件 构件 或 资源 的 位 置 进行 动态 改变 。 

大 多 数 明显 为 分 布 式 编程 设计 的 语言 都 至 少 对 系统 开发 中 的 划分 步 又 提供 语言 支持 。 例 
如 ， 进 程 、 对 象 、 划 分 、 代 理 (agent) 和 守护 神 (guardian) 都 被 建议 作为 分 布 单位 。 所 有 
这 些 构造 都 提供 定义 良好 的 接口 ， 使 它们 能 封装 局 部 资源 并 提供 远程 访问 。 有 些 方法 允许 将 
配置 信息 放 进 源 程序 ， 而 另 一 些 方法 提供 单独 的 配置 语言 。 

分 配 和 重 配置 一 般 需要 编程 支撑 环境 和 操作 系统 的 支持 。 

或 许 正 是 在 透明 执行 方面 已 进行 了 大 多 数 的 工作 以 达到 跨越 各 种 方法 的 某 个 标准 化 级 别 。 
目标 是 使 分 布 式 进程 之 间 的 通信 尽 可 能 容易 和 可 靠 。 然 而 ， 实 际 上 ， 通 信 常 常 是 在 跨越 不 可 
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靠 网 络 的 异 质 进 程 之 间 进行 的 ， 并 且 实际 上 需要 复杂 的 通信 协议 (3114.5 节 )。 真 正 需要 的 是 
提供 这 样 的 机 制 : 

。 进 程 不 必 处 理 底层 形式 的 消息 。 例 如 ， 它 们 不 必 将 数据 翻译 成 适合 于 传输 的 二 进 制 字符 

串 或 将 消息 分 割 成 信息 包 。 

。 可 以 假定 用 户 进程 接收 的 所 有 消息 都 是 完好 的 。 例 如 ， 如 果 将 消息 分 割 成 了 信息 包 ， 运 

行 时 系统 将 只 在 所 有 的 信息 包 都 到 达 接 收 节点 并 能 正确 装配 时 才 交 付 它 们 。 此 外 ， 如 果 

一 个 消息 中 的 二 进 制 位 已 被 搅乱 ， 那么 这 个 消息 或 是 不 发 送 , 或 是 在 发 送 前 重 构 ; 显然 ， 

需要 一 些 宛 余 信息 以 进行 出 错 检查 和 改正 。 

“进程 接收 到 的 消息 就 是 进程 预期 的 消息 类 型 。 进 程 无 须 进行 运行 时 检查 。 

“不 限制 进程 的 通信 只 能 使 用 预定 义 的 内 部 类 型 。 进 程 能 够 使 用 应 用 感 兴趣 的 值 进行 通 

信 。 理 想 的 是 ， 如 果 应 用 是 通过 抽象 数据 类 型 定义 的 ， 那 么 这 种 类 型 的 值 就 可 在 消息 中 

使 用 。 
可 以 认为 有 三 种 事实 上 的 标准 用 于 分 布 式 程序 的 相互 通信 : 

“使 用 一 个 网 络 传输 协议 的 应 用 程序 接口 (API) ， 例 如 套 接 字 (socket) 

。 使 用 远程 过 程 调 用 (remote procedure call，RPC) 模式 

“使 用 分 布 式 对 象 模式 

网 络 协议 问题 将 在 14.5 节 讨论 ，Java 同 套 接 字 的 接口 将 在 14.3.3 节 简要 地 讨论 。 本 小 节 的 
剩余 部 分 将 考虑 RPC 和 分 布 式 对 象 ， 包 括 公共 对 象 请 求 代理 体系 结构 (Common Object 
Request Broker Architecture, CORBA). 
14.3.1 远程 过 程 调用 

远程 过 程 调用 背后 被 掩盖 的 目标 是 使 分 布 式 通信 尽 可 能 简单 。RPC 典 型 的 用 法 是 用 于 同 
一 语言 所 写 程 序 之 间 的 通信 (例如 Ada 或 Java)。 一 个 过 程 ( 服 务 器 ) 被 标识 为 可 被 远程 调用 
的 过 程 。 利 用 服务 器 规格 说 明 ， 有 可 能 能 够 自动 产生 两 个 另外 的 过 程 : 一 个 客户 柱 ， 一 个 服 
务 器 桩 。 在 发 出 远程 调用 的 站 点 上 ， 客 户 桩 被 用 于 代替 服务 器 。 服 务 器 桩 和 服务 器 过 程 在 同 
一 站 点 上 使 用 。 这 两 个 过 程 的 目的 是 以 透明 的 方式 提供 客户 和 服务 器 之 间 的 连接 ( 因而 满足 
上 市 中 列 出 的 所 有 需求 )。 图 14-3 说 明了 在 客户 和 服务 器 之 间 经 由 两 个 桩 过 程 的 RPC 的 事件 序 
列 。 柱 有 时 称 为 中 间 件 ， 这 是 因为 它们 位 于 应 用 和 操作 系统 之 间 。 





图 14-3 RPC 中 客户 和 服务 器 之 间 的 关系 
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客户 桩 的 作用 是 : 

。 标 识 服务 器 (HE) 过 程 的 地 址 ; 

“将 远程 调用 的 参数 转换 成 适 于 跨 网 络 传输 的 字 节 块 一 该 活动 常 被 称 为 参数 编组 

(parameter marshalling) ; 

。 向 服务 器 (HE) 发 送 过 程 执行 请 求 ; 

* 等 待 服务 器 (RE) 的 回答 ， 并 将 参数 或 可 能 传播 来 的 异常 反 向 编组 (unmarshal) ; 

“ 将 控制 返回 给 客户 过 程 (连同 返回 的 参数 )， 或 在 客户 过 程 中 引发 异常 。 

服务 器 桩 的 作用 是 : 

"接受 来 自 客户 〈 柱 ) 过 程 的 请 求 ; 

“参数 反 向 编组 ; 

* 调用 服务 器 ; 

“捕获 由 服务 器 引发 的 任何 异常 ; 

“编组 返回 参数 〈 或 异常 )， 使 之 适合 跨 网 络 传输 ; 

“向 客户 (HE) 发 送 回答 。 

在 客户 和 服务 器 过 程 是 用 不 同 语言 编写 或 是 在 不 同 机 器 体系 结构 的 场合 ， 参 数 的 编组 和 
反 向 编组 机 制 把 数据 转换 成 与 机 器 无 关 和 语言 无 关 的 格式 ( 见 14.4.4 节 )。 
14.3.2 分 布 式 对 象 模型 

过 去 几 年 里 ， 在 不 同 场合 使 用 了 分 布 式 对 象 ( 或 远程 对 象 ) 这 个 术语 。 在 最 一 般 的 意义 
Bs PARR ICE: 

* 在 远程 机 器 上 动态 创建 一 个 对 象 (以 任何 语言 ) ; 

* 识别 被 确定 并 保存 在 任何 机 器 上 的 对 象 ; 

“ 对 象 中 远程 方法 的 透明 调用 ， 就 好 像 它 是 一 个 本 地 方法 ， 并 同 编写 该 对 象 的 语言 无 关 ; 

“方法 调用 的 跨 网 络 透明 运行 时 分 派 。 

并 非 所 有 支持 分 布 式 对 象 的 系统 都 提供 支持 所 有 这 些 功能 的 机 制 。 如 我 们 在 以 下 各 节 中 
所 展现 的 那样 : 

Ada 支持 静态 的 对 象 分 配 ， 人 允许 远程 Ada 对 象 的 识别 ， 方 便 远 程 方 靶 的 透明 执行 ， 并 支 
持 方法 调用 的 分 布 式 运行 时 分 派 ; 

Java 允许 Java 对 象 的 代码 跨 网 络 传送 、 远 程 创 建 实例 、Java 对 象 的 远程 指名 、 它 的 方法 
的 透明 调用 和 分 布 式 运行 时 分 派 ; 

CORBA 允许 在 不 同 机 器 上 以 不 同 语言 创建 对 象 ， 方 便 远 程 方法 的 透明 执行 ， 并 支持 方 
法 调用 的 分 布 式 运行 时 分 派 。 


14.4 分 布 式 编程 系统 和 环境 


分 布 式 应 用 的 数量 巨大 ， 从 简单 的 伺 入 式 控制 系统 到 大 而 复杂 的 多 语言 通用 信息 处 理 平 
台 。 全 面 讨论 如 何 设计 和 实现 这 些 系统 超出 了 本 书 范围 。 然 而 ， 本 书 将 研究 四 种 方法 : 

1) occam2 一 一 用 于 简单 嵌入 式 控制 系统 ; 

2) Ada 一 一 用 于 较 复杂 的 分 布 式 实时 应 用 ; 

3) Java 一 一 用 于 单 语言 Internet 类 型 的 应 用 ; 

4) CORBA 一 一 用 于 多 语言 多 平台 应 用 。 
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14.4.1 occam2 


occam2 被 专门 设计 得 使 程序 能 在 多 传输 机 (transputer) 网 络 的 分 布 式 环境 中 执行 。 通 常 ， 
occam2 的 进程 不 共享 变量 ， 所 以 划分 的 单元 就 是 进程 本 身 。 配 置 是 由 PLACED PAR 构造 实现 
的 。 一 个 作为 顶层 PAR 构 建 的 程序 

PAR 

Pl 

P2 

P3 

P4 

P5 


可 以 是 分 布 式 的 ， 如 下 所 示 : 
PLACED PAR 
PROCESSOR 1 
pl 
PROCESSOR 2 
PAR 


PROCESSOR 3 
PAR ^ 
p4 
p5 
重要 的 是 要 注意 ， 从 一 个 简单 PRAR 的 程序 到 一 个 使 用 PLACED PAR 的 程序 的 变换 不 会 使 
程序 无 效 。 然 而 ，occam2 确 实 允 许 变量 可 被 同一 处 理 器 上 的 多 个 进程 读 。 所 以 ， 如 果 程 序 员 
使 用 了 这 个 设施 ， 这 种 变换 就 可 能 就 不 行 了 。 
对 于 传输 机 ， 必 须 把 每 个 外 部 通道 同一 个 合适 的 传输 机 链 路 结合 起 来 。 这 一 点 通过 
PLACE RAT 构造 实现 。 例 如 ， 在 图 14-4 所 示 的 下 列 整数 通道 考虑 上 述 例子 。 


(An 
内 
e 





图 14-4 由 5 个 通道 连接 的 5 个 occam2 进 程 
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在 单个 传输 机 上 执行 的 程序 是 


CHAN OF INT cl, c2, c3, c4, c5: 
PAR 

P1 

P2 

P3 

P4 

P5 


如 果 将 程序 配置 成 三 个 传输 机 ， 如 图 14-5 所 示 ， 则 occam2 程 序 变 成 : 531 





图 14-5 由 3 个 传输 机 配置 的 5 个 occam2 进 程 


CHAN OF INT cl, c3, c5: 
PLACED PAR 
PROCESSOR 1 
PLACE cl at 0: 
PLACE c5 at 1: 
pl 
PROCESSOR 2 
PLACE cl at 2: 
PLACE c3 at 1: 
CHAN OF INT c2: 
PAR 
p2 
P3 
PROCESSOR 3 
PLACE c3 at 0: 
PLACE c5 at 2: 
CHAN OF INT c4: 
PAR 
p4 
p5 


occam2 程 序 易 于 配置 得 能 在 分 布 式 系统 上 执行 ， 这 是 oceam2 的 主要 吸引 力 之 一 。 
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532 occam2 语 言 没有 定义 分 配 ， 也 没有 任何 重 配 置 设施 。 此 外 ; 对 资源 的 访问 是 不 透明 的 。 
实时 能 力 
occam2 对 实时 的 支持 是 有 限 的 。 然 而 ， 在 这 些 限制 内 ， 分 布 式 系统 模型 是 一 致 的 。 
14.4.2 Ada 
Ada 将 分 布 式 系统 定义 为 : 


一 个 或 多 个 处 理 节 点 (具有 计算 和 存储 能 力 的 系统 资源 ) 和 零 个 或 多 个 存储 节 
点 《只 有 存储 能 力 的 系统 资源 ， 具 有 可 由 一 个 以 上 处 理 节 点 寻 址 的 存储 器 ) HAR, 


用 于 分 布 式 系统 编程 的 Ada 模 型 将 划分 (Partition) 规定 为 分 布 单位 。 划 分 由 库 单元 (分 
别 编译 的 库 包 或 子 程序 ) 的 集群 组 成 ， 这 些 库 单元 可 以 在 一 个 分 布 式 目标 执行 环境 中 共同 执 
行 。 库 单元 如 何 配置 成 划分 不 由 语言 定义 ,假设 实现 将 提供 这 种 定义 "(以 及 分 配 设施 和 重 配 
置 设施 ， 如 果 必 要 的 话 )。 

每 个 划分 驻 留 在 一 个 执行 站 点 上 ， 在 该 站 点 上 其 所 有 库 单元 占据 同一 逻辑 地 址 空间 。 然 
而 ， 可 能 有 一 个 以 上 的 划分 驻 留 在 同一 执行 站 点 上 。 图 14-6 说 明了 划分 的 一 个 可 能 结构 ， 箭 
头 表示 库 单元 之 间 的 依赖 性 。 划 分 之 间 的 主 接口 是 一 个 或 多 个 包 规格 说 明 (在 图 14-6 中 被 标 
记 为 “划分 接口 库 单元 ”) 组 成 的 。 








划分 接口 库 单元 


[e 


> 依赖 关系 (with 子 句 ) 
o0 对 服务 的 外 部 请 求 


图 14-6 划分 的 结构 


划分 可 以 是 主动 的 或 被 动 的 。 组 成 主动 划分 的 库 单元 在 同一 处 理 元 素 上 驻 留 并 执行 。 相 
反 ， 组 成 被 动 划分 的 库 单元 驻 留 在 存储 元 素 上 ,; 存储 元 素 可 由 引用 它们 的 不 同 主动 划分 节点 
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直接 访问 。 该 模型 确保 主动 划分 不 能 直接 访问 其 他 主动 划分 中 的 变量 。 主 动 划分 之 间 直 接 共 
享 变量 只 能 通过 将 变量 封装 在 一 个 被 动 划分 里 实现 。 主 动 划分 之 间 的 通信 由 语言 定义 为 经 由 
远程 子 程序 调用 (然而 ， 实 现 可 以 提供 别 的 通信 机 制 )。 

1. 类 别 化 编 用 

为 辅助 分 布 式 程序 的 构造 ，Ada 区 分 各 种 库 单元 类 别 ， 并 给 这 些 类 别 加 上 限制 ， 以 维持 跨 
分 布 式 程序 的 类 型 一 致 性 。 通 过 下 列 编 用 指定 这 些 类 别 (其 中 一 些 本 身 就 很 有 用 ， 同 程序 是 
否 是 分 布 式 的 无 关 )。 

Preelaborate (预制 作 ) 
预制 作 库 单元 是 不 需要 在 运行 时 执行 代码 就 可 制作 的 单元 。 

Pure (纯粹 ) 
纯粹 包 是 加 上 进一步 限制 的 预制 作 包 ， 这 些 限制 使 它们 能 自由 地 在 不 同 的 主动 划分 和 被 动 划 
分 中 复制 而 不 会 引入 任何 类 型 不 一 致 问题 。 这 些 限制 关注 对 象 和 类 型 的 声明 ， 尤 其 是 变量 和 
指名 访问 类 型 是 不 允许 的 ， 除 非 它们 是 在 子 程序 、 任 务 单元 或 保护 单元 里 面 。 

Remote_Types (远程 类 型 ) 
Remote_Types 包 是 一 个 预制 作 包 ， 在 其 可 见 部 分 不 得 包含 任何 变量 声明 。 

Shared Passive 
Shared_Passive 库 单元 用 于 管理 主动 划分 之 间 共 享 的 全 局 数据 。 所 以 ， 它 们 被 配置 在 分 布 
式 系统 的 存储 节点 上 。 


Remote Call Interface 


Remote_Call_Interface 包 定义 主动 划分 之 闻 的 接口 。 它 的 体 只 存在 于 一 个 单独 的 划分 
中 。 所 有 其 他 的 出 现 将 分 配 以 库 桂 。 
Remote_Call_Interface 包 的 规格 说 明 必须 是 预制 作 的 ， 除 了 施加 的 其 他 限制 外 ， 
它 不 得 包含 变量 的 定义 (以 确保 无 远程 数据 访问 )。 | 
设 有 用 类 别 化 编 用 归 类 的 包 被 称 为 正规 库 包 。 如 果 它 被 包括 在 一 个 以 上 的 划分 中 ， 它 就 
被 复制 ， 且 所 有 类 型 和 对 象 被 看 作 是 不 同 的 。 例 如 ，calendar 包 就 是 正规 的 。 
以 上 编 用 方便 了 Ada 程 序 的 分 布 且 确保 容易 识别 出 不 合法 的 划分 ( 它 允 许 在 划分 之 间 进 行 
直接 远程 变量 访问 )。 
2. 远程 通信 
主动 划分 之 间 进行 直接 通信 的 惟一 预定 义 方式 是 通过 远程 子 程序 调用 。 它 们 还 可 通过 被 
动 划分 中 的 数据 结构 间接 通信 。 
调用 划分 可 以 用 三 种 不 同方 式 发 出 远程 子 程序 调用 : 
“直接 调用 已 在 另 一 划分 的 远程 调用 接口 包 中 声明 的 子 程序 
“通过 间接 引用 一 个 远程 子 程序 的 指针 
* 通过 对 远程 对 象 的 方法 使 用 运行 时 分 派 
重要 的 是 要 注意 ， 在 第 一 种 通信 中 ， 调 用 划分 和 被 调用 划分 是 在 编译 时 静态 绑 定 的 ， 处 
对 后 两 种 通信 ， 划 分 是 在 运行 时 动态 绑 定 的 。 所 以 ，Ada 支 持 对 资源 的 透明 访问 。 
让 多 远程 调用 只 有 “in” 或 “access” 参 教 ( 即 数据 只 能 按 调用 的 方向 传送 )， 并 且 调 用 
千林 能 希 望 尽 可 能 快 地 继续 其 执行 。 在 这 些 情况 下 ， 有 时 将 这 些 调用 指定 为 司 步 调用 是 合适 


而 


» 
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的 。 过 程 是 被 同步 地 调用 还 是 异步 地 调用 ，Ada 认 为 这 是 过 程 的 性 质 ， 而 不 是 调用 的 性 质 。 这 
一 点 是 在 声明 过 程 时 由 一 个 编 用 Asynchronous 指 出 的 。 

Ada 已 经 定义 怎样 划分 分 布 式 程序 以 及 必须 支持 什么 形式 的 远程 通信 。 然 而 ， 语 言 设 计 者 
没有 对 语言 做 过 多 的 规定 ， 也 没有 为 Ada 程 序 规定 一 个 分 布 式 运行 时 支持 环境 。 他 们 希望 实现 
者 能 提供 自己 的 网 络 通信 协议 ， 并 且 只 要 合适 ， 就 允许 使 用 其 他 ISO 标准 ， 例 如 ，ISO 远 程 过 
程 调用 标准 。 为 实现 这 些 目标 ，Ada 语 言 假 设 有 一 个 处 理 所 有 远程 通信 的 标准 实现 提供 的 子 系 
统 〈 划 分 通信 子 系统 ，PCS) 存在 。 这 使 编译 器 能 生成 对 一 个 标准 接口 的 调用 ， 而 无 须 关 心 
底层 实现 。 

程序 14-1 定 义 的 包 说 明了 到 远程 过 程 ( 子 程序 ) 调用 (RPC) 支持 系统 的 接口 ， 该 支持 系 
统 是 PCS 的 一 部 分 。 


程序 14-1 Ada 的 包 System.RPC 





with Ada.Streams; 
package System.RPC is 


type Partition_ID is range 0.. 
implementation defined; 


Communication_Error : exception; 
type Params Stream Type ... 


-- 同步 调用 


procedure Do RPC ( 


Partition  : in Partition ID; 
Params : access Params Stream Type; 
Result * access Params Stream Type); 
-- 异步 调用 
procedure Do APC( 
Partition  : in Partition ID; 
Params : access Params Stream Type); 


-- 到 来 的 RPC 的 处 理 程序 

type RPC Receiver is access procedure ( 
Params : access Params Stream Type; 
Result : access Params Stream Type); 


procedure Establish RPC Receiver(Partition : Partition ID; 


Receiver : in RPC Receiver); 


Private 


end System.RPC; 

类 型 Partition_ Id 是 用 于 标识 划分 的 。 对 任何 库 级 的 声明 ，D、D， partition_Id 
产生 制作 该 声明 的 那个 划分 的 标识 符 。 在 远程 过 程 调 用 期 间 由 System.RPC 检 测 到 一 个 错误 
时 ，3 引 发 异常 Communication_Error。 为 了 在 划分 之 间 发 送 数据 ， 有 一 个 流 类 型 Param_ 
Stream_Type 的 对 象 ， 用 于 对 参数 或 远程 子 程序 调用 的 结果 进行 编组 (将 数据 翻译 成 适宜 
的 流 形式 ) 和 反 向 编组 。 该 对 象 也 用 于 标识 被 调用 划分 中 的 特定 子 程序 。 
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在 参数 被 平整 成 消息 之 后 ， 调 用 桩 就 调用 过 程 Do_RPC。 在 向 远程 划分 发 送 该 消 息 后 ， 过 
程 Do_RPC 将 调用 任务 挂 起 直到 收 到 一 个 回复 。 过 程 Do_APC 的 行为 类 似 于 Do_RPC ,不同 的 
是 ， 在 向 远程 划分 发 送 该 消息 后 它 立 即 返回 。 只 要 为 远程 调用 过 程 指定 了 Asynchronous 纺 
用 ，Do_APCc 就 被 调用 。 在 制作 一 个 主动 划分 之 后 就 立即 调用 Bstablish RPC Receiver, 
不 过 是 在 调用 主子 程序 之 前 ， 若 有 的 话 。Receiver 参 数 指定 一 个 实现 提供 的 过 程 ， 它 接受 
消息 ， 并 且 调用 适当 的 远程 调用 接口 包 和 子 程序 。 

3. 实时 能 力 

虽然 Ada 为 单 处 理 器 和 多 处 理 器 系统 定义 了 一 个 一 致 的 实时 模型 ， 它 对 分 布 式 实时 系统 的 
支持 是 很 有 限 的 。 在 分 布 式 系统 附件 和 实时 附件 之 间 没 有 整合 。 有 争议 的 是 ， 在 这 个 领域 的 
语言 支持 技术 未 被 充分 承认 有 标准 化 的 价值 。 

14.4.3 Java 


构造 分 布 式 Java 应 用 本 质 上 有 两 种 方式 : 

1) 在 独立 的 机 器 上 执行 Java 程 序 ， 并 使 用 Java 网 络 设施 ; 
2) 使 用 远程 对 象 。 

1. Java 网络 化 问题 


14.5 节 将 介绍 两 个 网 络 通信 协议 : UDP 和 TCP。 它 们 是 当今 在 用 的 重要 通信 协议 ， 并 且 


Java 环 境 提 供 了 能 够 访问 它们 的 类 (在 java.net 包 中 )。 到 这 些 协 议 的 API 是 通过 类 Socket 
(对 于 可 靠 的 TCP 协 议 ) 和 类 Datagramsocket (对 UDP 协议 )。 详细 讨论 这 个 方法 超出 了 本 





书 的 范围 一 -请 看 本 章 末 尾 的 相关 阅读 材料 ， 以 得 到 另外 的 信息 源 。 
2. 远程 对 象 


虽然 Java 提 供 了 访问 网 络 协议 的 方便 方法 ， 但 这 些 协议 还 是 很 复杂 的 ， 对 于 编号 分 布 式 
应 用 依然 是 个 障碍 。 所 以 ，Java 通 过 远程 对 象 的 概念 支持 分 布 式 对 象 通信 模型 。 


Java 模 型 的 核心 是 java .rmi 包 的 使 用 ， 这 个 包 建 立 在 TCP 协 议 之 上 。 在 这 个 包 中 有 Remote 


EH: 


public interface Remote { }3 


这 是 编写 分 布 式 Java 应 用 的 起 点 。 编制 该 接口 的 扩展 以 提供 客户 和 服务 器 之 间 的 连接 。 例 如 ， 
考虑 一 个 服务 器 ， 它 会 返回 当地 天 气 预 报 的 详细 情况 。 合 适 的 接口 可 能 是 : 
public interface WeatherForecast extends java.rmi.Remote 
// 客户 和 服务 器 之 间 共 享 
{ 


public Forecast getForecast() throws RemoteException; 


} 
方法 getForecast 的 抛 出 列表 中 必须 有 一 个 RemoteException 类 ， 使 得 低层 实现 能 够 指 
出 远程 调用 已 失败 。 


Forecast 是 一 个 对 象 ， 它 有 今天 天 气 的 详细 情况 。 由 于 该 对 象 会 被 跨 网 络 复制 ， 所 以 
它 必 须 实现 Serializable 接 口 9。 


日 类 似 于 Remote 接 口 ，Serializable 接 口 是 空 的 。 在 这 两 种 情况 下 ， 它 就 作为 是 给 编译 器 的 一 个 标志 信 
息 。 对 于 Serializable 接 口 ， 它 指出 对 象 可 被 转换 为 字 节 流 以 适 于 IO。 
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public class Forecast implements java.io.Serializable 


{ 
public String Today() { 
String today = "Wet" ; 
return today; 
} 
538 ) 


一 旦 定义 了 合适 的 远程 接口 ， 就 可 声明 一 个 服务 器 类 。 它 又 是 被 用 于 指出 该 类 的 对 象 可 以 被 远 
程 调用 ， 其 常用 方式 是 扩充 包 java.zmi.server 中 的 一 个 预定 义 类 。 当 前 ， 有 两 个 类 : 
RemoteServer ( 它 是 由 类 Remote 派 生 的 一 个 抽象 类 ) 和 UnicastRemoteobject， 它 是 
RemoteServez 的 一 个 具体 扩充 。 后 者 是 为 非 复制 服务 器 提供 的 类 ， 并 使 用 TCP 协 议 ， 具 有 到 
每 个 客户 的 点 到 点 连接 。 预 计 对 Java 的 未 来 扩充 可 能 提供 另外 一 些 类 ， 诸 如 使 用 一 个 多 路 广播 
通信 协议 的 复制 服务 器 。 

下 面 的 例子 展示 了 提供 英国 Yorkshire 和 郡 的 天 气 预 报 的 服务 器 类 : 


public class YorkshireWeatherForecast extends UnicastRemoteObject 


implements WeatherForecast 


) public YorkshireWeatherForecast()throws RemoteException 
{ 
super(); // 调用 父 构造 器 
} 
public Forecast getForecast() throws RemoteException 
{ 
} 


} 


一 且 写 好 了 这 个 服务 器 类 ， 就 必须 生成 服务 器 柱 和 每 个 可 被 远程 调用 的 方法 的 客户 桩 。 
注意 ，Java 为 服务 器 桩 使 用 骨架 (skeleton) 这 个 术语 。Java 编 程 环境 提供 一 个 叫做 “rmic” 
的 工具 ， 它 取 来 服务 器 类 ， 并 自动 生成 适当 的 客户 柱 和 服务 器 骨架 。 

对 客户 来 说 ， 现 在 需要 的 就 是 能 够 获取 一 个 能 访问 服务 器 对 象 的 客户 桩 。 这 通过 注册 实 
现 。 注 册 是 一 个 单独 的 Java 程 序 ， 它 在 每 个 有 服务 器 对 象 的 宿主 机 器 上 执行 。 它 监 听 标 准 的 
TCP 端 口 ， 并 提供 在 程序 14-2 中 所 摘 记 的 类 Naming 的 一 个 对 象 。 


程序 14-2 ”Java 类 Naming 的 摘要 


Public final class Naming 
{ 
public static void bind (String name, Remote obj) 
throws AlreadyBoundException, java.net .MalformedURLException, 


UnknownHostException, RemoteException; 
// bind the name to the obj 


// name takes the form of a URL such as 
// rmi://remoteHost : pot/objectName 


Public static Remote lookup (String name ) 


throws NotBoundException, java.net .MalformedURLException, 
UnknownHostException, RemoteException; 
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// looks up the name in the registry and returns a remote object 


) 

每 个 服务 器 对 象 可 利用 类 Naming 将 其 远程 对 象 和 一 个 名 字 绑 定 起 来 。 这样 ， 客 户 可 访问 
一 个 远程 注册 以 获取 到 该 远程 对 象 的 一 个 引用 。 当 然 ; 这 是 到 该 服务 器 的 一 个 客户 桩 对 象 的 
引用 。 客 户 桩 被 加 载 到 客户 的 机 器 上 。 一 且 获 取 了 该 引用 ， as 

3. 实时 能 力 

上 上面 描 述 的 设施 是 标准 Java 的 设施 ， 它 们 不 是 打算 在 实时 约束 下 操作 的 。 实 时 Java 当 前 对 
分 布 式 实时 编程 没有 提供 支持 。 然 而 ;这 个 问题 是 今后 几 年 要 致 为 研究 的 议题 。 

14.4.4 CORBA 


公共 对 象 请 求 代理 体系 结构 (CORBA) 提供 最 通用 的 分 布 式 对 象 模型 。 其 目标 是 便于 为 
来 自 不 同 供 货 商 的 中 间 件 软件 支持 的 不 同 平台 、 用 不 同 语言 编制 的 应 用 之 间 的 互 操作 性 。 它 
是 由 对 象 管理 组 织 (Object Management Group, OMG) 一 一 软件 供 货 商 、 开 发 者 和 终端 用 户 
的 合伙 组 织 一 一 设计 的 ， 遵 循 图 14-7 所 画 的 对 象 管理 体系 结构 模型 。 : 


对 象 请 求 代 理 (ORB) 












图 14-7 对 象 管理 体系 结构 模型 


该 体系 结构 的 核心 是 对 象 请 求 代理 (Object Request Bioker，ORB )。 这 是 二 个 软件 通信 
总 线 ， 是 提供 便于 异 质 应 用 之 间 互 操作 性 的 主要 基础 设施 。CORBA 经 常 是 指 ORB。 该 体系 结 
构 的 其 他 成 分 有 : 

” 对 象 服务 一 一 支持 ORB 的 基本 服务 集合 ， 例 如 ， 支 持 对 象 创建 、 指 名 和 访问 控制 以 及 追 
踪 重 定位 对 象 。 

公共 设施 一 跨 范 围 完 广 的 应 用 领域 的 一 个 公共 功能 集合 ， 例 如 ;用 户 界面 、 文档 和 数据 
库 管 理 。 

领域 接口 一 一 一 组 接口 ， 它 们 支持 诸如 银行 和 人 金融 或 电信 这 样 的 特定 应 用 领域 

应 用 接口 一 -终端 用 户 的 专门 应 用 接口 。 Mee 

为 确保 来 自 不 同 供 货 商 的 ORB 之 间 的 互 操作 性 ;CORBA 定 义 了 一 个 通用 的 Inter-ORB 协 
议 ;， 它 位 于 TCP/IP 之 上 ( 见 14.5.2)。 

编写 CORBA 应 用 的 中 心 问题 是 接口 定义 语言 (Interface Definition Language, IDL). 
CORBA 接 口 类 似 于 上 节 讨 论 过 的 Java 远 程 接口 。 除 了 描述 对 象 属性 外 ，IDL (类 似乎 C++ 语 
A) 用 于 描述 由 应 用 对 象 提供 的 设施 以 及 传送 给 一 个 给 定 方法 的 参数 及 其 返回 值 。 卡 节 给 出 
的 天 气 预报 应 用 的 接口 例子 如 下 : 
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interface WeatherForecast{ 
void GetForecast(out Forecast today); 
} 


一 旦 定义 了 应 用 的 IDL， 就 要 有 用 于 “编译 它 ” 的 工具 。IDL 编 译 器 产生 现 有 的 几 个 编程 
语言 之 一 (诸如 Java 或 Ada) 的 若干 新 文件 。 文 件 包括 : 

“客户 桩 ， 它 们 提供 客户 和 ORB 之 间 的 通信 通道 ; 

。 使 ORB 能 调用 服务 器 上 的 函数 的 一 个 服务 器 骨架 。 

现在 可 以 编写 服务 器 和 客户 代码 了 。 服 务 器 包括 两 个 部 分 : 应 用 对 象 自身 的 代码 和 服务 
器 进程 的 代码 。 应 用 对 象 必须 同 服务 器 骨架 关联 。 实 现 方式 依赖 于 目标 语言 。 例 如 ， 对 Java， 
通过 产生 一 个 类 可 以 做 到 这 一 点 ， 这 个 类 是 作为 所 生成 服务 器 骨架 的 子 类 。 应 用 对 象 的 代码 
就 这 样 完 成 了 。 服 务 器 进程 本 身 可 以 写成 一 个 主 程序 ， 它 创建 应 用 对 象 ， 初 始 化 ORB ， 并 告 

241] 诉 它 该 对 象 已 准备 好 接受 客户 请 求 。 客 户 结构 是 类 似 的 。 

实际 上 ，CORBA 提 供 了 较 以 上 描述 丰富 得 多 的 设施 。 除 了 客户 和 服务 器 的 静态 关联 之 外 ， 
CORBA 客 户 可 以 动态 地 发 现 一 个 服务 器 的 IDL 接 口 ， 而 不 需要 有 关 服 务 器 细节 的 先 验 知识 。 
此 外 ， 支 持 ORB 的 服务 可 提供 范围 广泛 的 功能 ， 诸 如 事件 服务 、 事 务 和 并 发 控制 、 持 久 对 象 
和 交易 服务 。 应 用 程序 通过 可 移植 对 象 适配器 (POA) 访问 这 些 服 务 。 这 是 为 服务 器 对 象 提 
供 运 行 时 环境 的 库 。 

1. 实时 能 力 

虽然 ,一 般 说 来 ，CORBA 提 供 了 对 分 布 式 对 象 的 全 面 支持 ,但 从 本 书 的 角度 看 ， 
CORBA 的 一 个 主要 限制 是 它 缺 乏 对 实时 应 用 的 支持 。 ORB 没 有 被 设计 得 使 操作 服从 时 间 约 束 ， 
结果 ， 有 许多 操作 对 软 实时 系统 是 不 合适 的 ， 更 不 用 提 必 须 在 紧迫 的 时 间 约 束 之 下 进行 操作 
的 系统 。 此 外 ， 由 CORBA 提 供 的 基本 通信 模型 是 同步 RPC (客户 必须 等 待 服务 器 的 回复 ) 和 
延迟 同步 RPC (客户 线程 继续 执行 ， 并 在 以 后 轮 询 回 复 )。 如 在 第 13 章 所 说 的 ， 同 步 通 信 模 型 
的 时 间 性 质 较 异步 模型 更 难以 分 析 ， 并 且 结 果 更 不 如 音 。 

由 于 这 些 原因 ， 以 及 在 实时 应 用 中 更 多 地 使 用 CORBA，OMG 在 过 去 几 年 里 致力 于 同 主 
要 CORBA 标 准 相 关联 的 性 能 问题 。 他 们 从 三 个 方面 处 理 这 些 问 题 : 


1) 最 小 CORBA 
2) CORBA 消 息 通 信 (CORBA Messaging ) 
3) 实时 CORBA 


最 小 CORBA 是 CORBA2.2 规 范 的 一 个 子 集 ， 它 删除 了 许多 服务 ， 包括 所 有 同 客户 和 服务 
器 对 象 之 间 的 动态 配置 相关 的 服务 。 该 子 集 定 位 于 具有 有 限 资源 的 借入 式 系统 。 

CORBA 消 息 通信 是 CORBA 标 准 的 一 个 扩充 ， 支持 异步 消息 传送 和 服务 质量 参数 。 

实时 CORBA (RT CORBA) (Object Management Group, 1999) 规范 定义 支持 分 布 式 
CORBA 应 用 可 预测 性 的 机 制 。 它 假定 实时 行为 是 通过 使 用 基于 固定 优先 级 的 调度 获得 的 ， 并 
因而 同 大 多 数 实时 操作 系统 兼容 尤其 是 同 那些 支持 实时 POSIX 接 口 的 实时 操作 系统 兼容 。 
RT CORBA 的 关键 方面 是 使 应 用 能 够 配置 和 控制 处 理 器 和 通信 这 两 个 方面 的 资源 。 现在 简要 

描述 这 些 设施 。 | 
2. 管理 处 理 器 资源 
RT CORBA 规 范 使 客户 /服务 器 应 用 能 够 管理 以 下 性 质 : 
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。 服 务 器 处 理 客户 请 求 的 优先 级 。RT CORBA 规 定 全 局 CORBA 优 先 级 和 将 这 些 优先 级 上 映 

射 到 宿主 RT ORB 的 特定 实时 操作 系统 的 优先 级 范围 。 使 用 这 些 映射 支持 三 个 全 局 优 

先 级 模型 : (1) 服务 器 声明 模型 ， 由 服务 器 规定 它 所 服务 的 请 求 的 优先 级 ; (2) 客户 

传播 模型 ， 由 客户 规定 优先 级 并 传播 给 服务 器 ; (3) 优先 级 变换 模型 ， 请 求 的 优先 级 

是 基于 诸如 当前 服务 器 负载 或 全 局 调度 服务 状态 等 外 部 因素 的 。 

。 服 务 器 上 多 线程 的 数量 等 级 。RT CORBA 使 用 线程 池 概 念 控制 多 线程 的 数量 等 级 。 通 过 

使 用 一 个 实时 POA ， 服 务 器 应 用 可 以 规定 : 初始 创建 程 的 默认 数目 、 可 被 动态 创建 的 最 

多 线程 数 和 所 有 线程 的 默认 优先 级 。 这 些 线程 是 从 一 个 线程 池 分 配 的 ， 它 们 可 能 被 、 也 

可 能 不 被 不 同 的 应 用 共享 。 进 一 步 的 灵活 性 由 带 泳 道 的 线程 池 概 念 给 出 。 这 时 ， 不 仅 能 

控制 并 发 性 的 总 量 ， 还 能 控制 在 一 个 特定 优先 级 上 所 完成 的 工作 量 。 

* 优先 级 继承 和 优先 级 高 限 协议 的 影响 。RT CORBA 定 义 类 似 POSIX 的 互 斥 锁 以 确保 封装 

共享 资源 的 同步 协议 的 一 致 性 。 

3. 管理 网 络 资源 

虽然 对 资源 的 透明 访问 使 编写 通用 的 分 布 式 应 用 变 得 容易 了 ， 却 使 实时 性 能 的 实际 分 析 
成 为 不 可 能 。 因 此 ，RT CORBA 人 允许 建 立 起 客户 和 服务 器 之 间 的 显 式 连接 ， 例 如 ， 在 系统 配 
置 时 建立 这 种 连接 。 也 可 以 控制 客户 请 求 是 如 何在 这 些 连 接 上 发 送 的 。RT CORBA 方 便 客 户 
和 服务 器 之 间 的 多 重 连接 ， 以 减少 由 于 使 用 非 实时 传输 协议 产生 的 优先 级 反 转 问题 。 此 外 ， 
也 支持 私有 传输 连接 一 一 使 客户 对 服务 器 的 调用 能 够 进行 ， 而 不 用 担心 此 调用 同 在 此 连接 上 
的 其 他 多 重 调用 进行 竞争 。 

即使 有 上 述 支持 ， 如 果 能 够 设置 在 Inter-ORB 通 信 协 议 底层 的 具体 通信 协议 的 服务 质量 参 
数 也 是 有 利 的 。RT CORBA 提 供 从 客户 和 服务 器 两 端 选择 和 配置 这 些 属性 的 接口 。 

4. 调度 服务 

由 上 述 讨论 应 当 清楚 看 到 RT CORBA 提 供 许 多 设施 以 方便 实时 分 布 式 CORBA 应 用 。 然而 ， 
设置 全 部 所 需 参数 ( 因而 得 到 一 个 一 致 的 调度 策略 ) 是 困难 的 。 因 此 ，RT CORBA 使 应 用 能 
够 根据 它 的 周期 、 最 坏 执行 时 间 、 其 临界 状态 等 特性 的 规定 调度 需求 。 这 是 离线 完成 的 ， 并 


且 每 个 由 应 用 调度 的 实体 〈 称 为 活动 ) 被 分 配 一 个 文本 名 字 。 在 运行 时 刻 提 供 一 些 接口 ， 这 


些 接 口 使 应 用 能 通过 调度 服务 去 调度 已 命名 的 活动 。 该 服务 设置 所 有 必需 的 优先 级 参数 ， 以 
实现 诸如 时 限 或 速率 单调 调度 等 等 的 特定 调度 策略 。 


14.5 可 靠 性 


说 分 布 能 提供 使 系统 更 加 可 靠 的 手段 ， 又 同时 说 分 布 提供 的 方法 在 系统 中 引入 了 更 多 的 
六 在 失效 ， 这 看 起 来 几乎 是 相互 矛盾 的 。 虽 然 多 处 理 器 的 可 用 性 使 应 用 变 得 容许 处 理 器 失效 ， 
它 也 引入 了 发 生 在 集中 式 单 处 理 器 系统 中 不 会 出 现 的 故障 的 可 能 性 。 尤 其 是 多 处 理 器 引信 了 
部 分 系统 失效 的 概念 。 在 单 处 理 器 系统 中 ， 如 果 处 理 器 或 存储 器 失效 ， 则 通常 整个 系统 失效 。 
《有 时 ， 处 理 器 能 够 在 部 分 存储 器 失效 的 时 候 继续 并 恢复 ， 但 一般 说 来 系统 要 崩 汕 )。 然 而 
在 分 布 式 系统 中 ， 单 个 处 理 器 失效 而 其 他 处 理 器 继续 执行 是 可 能 的 。 此 外 ， 经 由 基础 通信 网 
作 的 传播 延迟 是 可 变 的 ， 并 且 消 息 可 取 各 种 路 由 。 这 一 点 连同 不 可 靠 的 传输 媒介 ， 可 能 导致 
消息 丢失 、 破 坏 或 以 不 同 于 发 送 次 序 的 次 序 交付 。 容 许 这 种 失效 所 需 的 软件 的 复杂 性 增加 ， 
也 能 冲击 系统 的 可 靠 性 。 
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14.5.1 开放 系统 互 连 

在 网 络 和 分 布 式 系统 的 通信 协议 方面 已 经 进行 了 大 量 工作 。 论 述 其 细节 已 超出 本 书 范围 ， 
读者 应 参考 本 节 末 尾 的 相关 阅读 材料 。 一 般 说 ,通信 协议 是 分 层 的 ， 以 方便 其 设计 与 实现 。 
然而 ， 有 许多 不 同 的 网 络 存在 ， 每 个 网 络 都 有 自己 的 “网 络 体系 结构 ”概念 和 相关 的 通信 协 
议 。 所 以 ， 如 果 没 有 某 种 国际 标准 ， 要 想 组 成 不 同 来 源 的 互 连 系统 是 极端 困难 的 。 国 际 标准 
化 组 织 (ISO) 已 经 定义 了 一 些 标准 ， 涉 及 开放 系统 互 连 (Open Systems Interconnections) 或 
OSI 概念 。 术 语 “开放 ”用 于 指出 : 通过 遵循 这 些 标准 ， 一 个 系统 对 于 世界 上 其 他 也 遵循 同一 
标准 的 所 有 系统 都 是 开放 的 。 这 些 标准 已 经 变 成 熟知 的 OSI 参考 模型 。 应 当 强 调 ， 这 个 模型 并 
不 关心 计算 机 通信 网 络 的 具体 应 用 ， 而 是 关心 提供 可 靠 的 、 与 制造 三 家 无 关 的 通信 服务 所 需 
的 通信 协议 的 结构 。OSI 参 考 模型 是 个 分 层 模型 ， 层 次 如 图 14-8 所 示 。 

分 层 的 基本 思想 是 :为 了 给 较 高 层 呈现 服务 ， 每 一 层 都 加 上 由 较 低层 提供 的 服务 。 从 上 


面 看 一 个 特定 层 ， 它 下 面 的 各 个 层 可 被 看 作 是 实现 一 种 服务 的 黑箱 ,一 个 层 使 用 由 下 层 提供 


的 服务 的 方式 是 通过 那 一 层 的 接口 。 接 口 定 义 了 跨越 相 邻 层 之 间 的 边界 进行 信息 交换 的 规则 
和 格式 。 实 现 层 的 模块 通常 被 称 为 实体 。 


应 用 层 


会 话 层 协 议 


会 话 层 
传输 层 


网 络 层 





图 14-8 OSI 参考 模型 


在 网 络 和 分 布 式 系统 中 ， 每 一 层 都 可 被 分 布 到 多 台 机 器 上 ， 为 提供 它 的 服务 ， 同 一 层 在 
不 同 机 器 上 的 实体 可 能 需要 交换 信息 。 这 种 实体 被 称 为 同行 实体 (peer entity )。 协 议 就 是 一 
个 管理 同行 实体 之 间 通 信 的 规则 集合 。 

OSI 模型 本 身 并 不 定义 协议 标准 ， 通过 将 网 络 功能 分 解 到 层 ， 它 确实 建议 应 当 在 什么 地 方 
建立 协议 标准 ， 但 这 些 标准 在 这 个 模型 本 身 之 外 。 然 而 ;这些 标准 已 经 开发 出 来 了 。 

现在 简要 描述 每 一 层 的 功能 。 

1) 物理 层 

物理 层 关心 的 是 在 信道 上 传输 原始 数据 。 其 工作 是 确保 在 没有 出 错 的 情况 下 ，_- 端 发 送 
了 一 个 “1, 就 接受 一 个 “1”， 而 不 是 一 个 “0”。 

2) 数据 链 路 层 

数据 链 路 层 将 一 个 不 可 靠 的 传输 通道 转换 成 一 个 可 靠 的 传输 通道 以 供 网 络 野 使 用 ， 它 还 
负责 消解 与 同一 个 传输 通道 相连 的 节点 之 间 对 传输 通道 进行 访问 的 可 能 竞争 。， 
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为 使 数据 链 路 层 提供 可 靠 的 信道 ， 它 必须 能 校正 错误 。 使 用 了 两 种 基本 又 熟悉 的 技术 : 
向 前 出 错 控 制 和 向 后 出 错 控 制 。 向 前 出 错 控制 需要 在 每 条 消息 中 有 是 够 的 元 余人 信息， 以 校正 
在 其 传输 中 可 能 发 生 的 错误 。 一 般 说 ， 所 需 元 余 量 会 随 着 信息 位 位 数 的 增长 而 快速 增长 。 疝 
后 出 错 控制 只 需要 检测 到 这 些 错误 ， 一 旦 检测 到 了 ， 可 利用 再 传输 方案 ， 以 得 到 正确 的 消息 
(这 是 数据 链 路 层 的 工作 )。 向 后 出 错 控制 在 网 络 和 分 布 式 系统 领域 中 占 优势 。 

大 多 数 向 后 出 错 控制 技术 加 入 了 计算 校 验 和 (〈checksum ) 的 概念 ， 校 检 和 连同 消息 一 起 
发 送 并 描述 该 消息 的 内 容 。 在 接收 方 ， 校 检 和 被 再 次 计算 ， 并 同 发 送 的 那个 校 检 和 进行 比较 。 
它们 不 一 致 就 表示 发 生 了 传输 错误 。 关 于 这 一 点 ， 数 据 链 路 层 提 供 三 类 基本 的 服务 : 无 确认 
的 无 连接 服务 ， 有 确认 的 无 连接 服务 或 面向 连接 的 服务 。 对 第 一 种 ， 不 提供 进一步 的 服务 。 
发 送 者 不 能 察觉 消息 未 被 完整 无 损 地 收 到 。 对 第 二 种 ,一旦 消息 被 正确 收 到 时 ， 就 通知 发 送 
者 ， 在 某 个 时 刻 段 里 没有 收 到 通知 销 息 就 表示 发 生 了 错误 。 第 三 种 服务 类 型 建立 一 种 发 送 者 
和 接收 者 之 间 的 连接 ， 并 保证 所 有 消息 都 正确 收 到 并 按 正确 次 序 收 到 。 

3) 网 络 层 | 

网 络 层 (或 通信 子 网 层 ) 关注 从 传输 层 来 的 信息 怎样 经 由 通信 子 网 发 送 到 目的 地 。 消 息 
被 分 割 成 信和 包 〈Packet) ， 这 些 信 和 可 能 经 由 不 同 路 径 发 送 ， 网 络 层 必须 把 这 些 信和 包 重 新 组 装 ， 
并 处 理 可 能 发 生 的 阻塞 。 关 于 网 络 层 是 否 应 当 通过 网 络 提供 一 个 完整 的 信道 ， 没 有 明确 的 一 
致意 见 。 这 种 服务 的 提供 有 两 个 极端 : EWAH (virtual circuit) (面向 连接 ) 和 数据 报 
(datagram) (无 连接 )。 对 于 虚拟 线路 服务 ， 提 供 完 整 的 信道 。 所 有 消息 信和 包 依 次 到 达 。 对 于 
数据 报 服务 ， 网 络 层 试图 孤立 地 发 送 每 个 信和 包 。 所 以 ， 消 息 可 能 不 按 次 序 到 达 或 完全 不 到 达 。 

物理 层 、 数 据 链 路 层 和 网 络 层 是 依赖 于 网 络 的 ， 并 且 其 操作 细节 可 能 因 网 络 的 不 同 而 千 
差 万 别 。 

4) 传输 层 

传输 层 (或 宿主 到 宿主 层 ) 提供 可 靠 的 宿主 到 宿主 通信 会 话 层 使 用 。 它 必须 向 会 话 层 
隐 荐 通信 子 网 的 所 有 细节 ， 这 样 使 得 一 个 子 网 可 由 另 一 子 网 代替 。 实 际 上 ， 传 输 层 将 网 络 的 
顾客 部 分 〈 第 5 ~ 7 层 ) 同 运营 商 部 分 (第 1 ~ 3 层 ) 屏蔽 开 来 。 

5) 会 话 层 

会 话 层 的 作用 是 使 用 传输 层 的 设施 在 两 个 应 用 级 进程 之 间 提 供 一 条 通信 路 径 。 用 户 之 间 
的 连接 通常 被 称 为 会 话 ， 并 可 能 包括 一 个 远程 登录 或 文件 传送 。 设 置 会 话 〔 叫 绑 定 ) 所 涉及 
的 操作 包括 权限 识别 和 记 账 。 一 旦 开始 了 一 次 会 话 ， 这 个 层 就 必须 控制 数据 交换 ， 并 使 两 个 
进程 之 间 的 数据 操作 同步 。 

6) 表示 层 

表示 层 完成 数据 上 的 常用 变换 ， 以 克服 有 关 数 据 表示 对 应 用 的 异 质问 题 。 例 如 ， 它 使 交 
互 式 程序 能 在 一 组 不 兼容 的 显示 终端 之 间 转换 。 它 可 以 进行 文本 压缩 或 加 密 。 

7) MAB 

应 用 层 提供 网 络 的 高 级 功能 ， 诸 如 对 数据 库 、 邮 件 系统 等 等 的 访问 。 应 用 的 选择 可 以 支 
名 由 较 低层 提供 的 服务 。 所 以 ， 特 定 应 用 领域 可 以 规定 一 组 贯穿 所 有 七 层 的 协议 ， 它 们 是 支 
持 所 需 的 分 布 式 处 理 功能 所 要 求 的 。 例 如 ， 通 用 汽车 公司 的 一 个 倡议 就 定义 了 一 组 协议 以 实 
现 自动 制造 工厂 的 开放 互 连 。 这 些 协 议 被 称 为 制造 自动 化 协议 (manufacturing automation 
protocol, MAP), 
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14.5.2 TCP/IP 层 
OSI 模 型 现在 有 些 过 时 ， 并 且 不 直接 面 对 Internet 工 作 的 问题 。TCP/IP 参 考 模型 只 有 5 层 ， 


如 图 14-9 所 示 。 


图 14-9 TCP/AP 参 考 模型 


物理 层 等 价 于 OSI 物 理 层 。 网 络 接口 层 完成 与 OSI 数 据 链 路 层 相 同 的 功能 。Internet 层 规定 
跨 互联 网 发 送 的 信息 包 的 格式 ， 并 完成 所 有 同 OSI 网 络 层 相关 的 路 由 功能 ， 就 在 这 里 定义 了 
Internet 协 议 (IP). , 

传输 层 等 价 于 OSI 传输 层 ， 它 提供 两 个 协议 : 用 户 数据 协议 (UDP) 和 传输 控制 协议 
(TCP)。UDP 提 供 不 可 靠 的 无 连接 协议 ， 它 使 得 能 在 下 层 高 效 访问 IP 协 议 。 TCP 协 议 提 供 可 靠 
的 端 到 端的 字 节 流 协议 。 

14.5.8 轻 量 级 协议 和 局 域 网 

OSI 和 TCP/IP 模 型 最 初 是 为 广域网 开发 的 ， 使 之 能 开放 式 访问 ， 广域网 的 特征 是 低 带 宽 通 
信 、 高 出 错 率 。 大 多 数 分 布 伐 入 式 系统 会 使 用 局 域 网 技术 ， 并 且 对 外 部 世界 是 关闭 的 。 局 域 
网 的 特征 是 高 带宽 通信 、 低 出 错 率 。 它 们 可 以 使 用 像 广播 技术 (如 以 太 网 那样 ) 或 点 对 点 基 
于 交换 的 技术 (Pán, ATM (异步 传输 模式 ))。 所 以 ， 虽然 有 可 能 用 OSI 或 TCP/IP 方 法 (W 
如 ，Java RMI) 实现 语言 级 进程 间 通 信 (比如 Java RMI), 而 实际 上 ， 花 销 禁止 这 样 做 。 因 此 ， 
许多 设计 人 员 是 按 语 言 (应 用 ) 的 需求 和 通信 介质 裁剪 协议 。 这 称 为 轻重 级 协议 。 设计 中 的 
关键 问题 是 它们 容许 通信 失败 的 程度 。 

乍 看 起 来 ， 似 乎 对 于 编制 高 效 、 可 靠 的 分 布 式 应 用 而 言 ， 根本 的 是 要 有 完全 可 靠 的 通信 。 
然而 ,事情 并 不 总 是 这 样 。 考 虑 一 下 分 布 式 应 用 能 引入 的 出 错 类 型 。 如 果 两 个 分 布 式 进 程 正 
在 为 提供 服务 而 通信 和 同步 ， 可 能 的 错误 会 来 自 : 

* 由 物理 通信 介质 的 干预 带 来 的 瞬时 错误 

“负责 屏蔽 通信 子 系统 中 的 瞬时 错误 的 软件 的 设计 错误 

。 在 服务 器 进程 和 在 提供 服务 中 所 需 的 任何 其 他 服务 器 之 间 协 议 的 设计 错误 

* 两 个 服务 器 进程 自身 之 间 协 议 的 设计 错误 

为 防止 发 生 后 一 种 错误 ， 服 务 器 进程 必须 提供 应 用 级 检查 ( 端 对 端 检 查 )。 系 统 设计 的 端 
对 端 论点 (Saltzer 等 ，1984) 说 : 有 了 对 可 靠 服务 准备 的 这 种 检查 ， 就 不 再 需要 在 协议 层次 
的 较 低 层 重 复 这 些 检查 ， 特 别 是 在 通信 介质 (例如 像 以 太 网 或 令 牌 环 这 样 的 局 域 网 ) 提供 低 
出 错 率 (但 不 完备 ) 传输 设施 的 时 候 。 对 于 这 些 情况 ， 有 一 个 高 速 而 可 靠 性 低 于 100% 的 通信 
设施 要 比 一 个 低速 、 可 靠 性 为 100% 的 设施 好 。 需要 高 可 靠 性 的 应 用 可 以 在 应 用 层 以 效率 换 可 
靠 性 。 然 而 ， 需 要 高 速 (但 不 必 可 靠 ) 服务 的 应 用 就 不 能 利用 其 他 方法 以 可 靠 性 换 效 率 。 











分 项 式 夭 统 427 


对 于 局 域 网 通信 协议 有 一 些 标准 ， 特 别 是 在 数据 链 路 层 ， 这 些 标准 被 分 成 了 两 个 子 层 : 
介质 访问 控制 (Medium Access Control, MAC) 和 逻辑 链 路 控制 (Logical Link Control, 
LLC)。MAC 关 注 物理 通信 介质 的 接口 ，CSMA/CD (Carrier Sense Multiple Access with 
Collision Detection ， 载 波 侦 听 多 路 访问 /冲突 检测 ) 总 线 (例如 以 太 网 )、 信 息 包 交换 (例如 
ATM)， 令 牌 总 线 和 令 牌 环 都 有 标准 。LLC 关 注 提供 无 连接 或 面向 连接 的 协议 。 

如 早先 描述 过 的 ， 远 程 过 程 调用 (ISO/IEC JTCI/SC21/WG8, 1992) 是 一 个 公共 的 、 面 
向 语言 的 轻 量 级 协议 。 通 常 它 被 直接 实现 在 由 局 域 网 提供 的 基本 通信 设施 之 上 (例如 ，LLC 
层 )。 对 于 像 Java 和 Ada 这 样 的 语言 ， 在 没有 机 器 失效 的 情况 ， 远 程 过 程 调用 被 认为 是 可 靠 的 。 
那 就 是 说 ， 对 每 个 远程 过 程 调 用 ， 如 果 调 用 返回 了 ， 然 后 过 程 被 执行 一 次 且 仅 仅 一 次 ， 这 被 
称 为 恰好 一 次 RPC 语 勾 。 然 而 ， 在 机 器 失效 的 情况 下 ， 这 是 难以 实现 的 ， 因 为 过 程 可 能 被 部 
分 或 全 部 执行 了 若干 次 ， 这 依赖 于 在 什么 地 方 发 生 崩 溃 和 程序 是 否 重新 启动 。Ada 假 设 调用 被 
执行 至 多 一 次 ， 因 为 在 Ada 程 序 失败 之 后 没有 重新 启动 部 分 Ada 程 序 的 概念 。 

对 于 实时 局 域 网 及 其 相关 协议 ， 重 要 的 是 在 消息 传输 中 提供 有 界 的 和 已 知 的 延迟 。14.7.2 
将 再 次 讨论 这 个 议题 。 

14.5.4 组 通信 协议 

远程 过 程 调用 (或 远程 方法 调用 ) 是 分 布 式 系 统 中 客户 和 服务 器 之 间 的 常见 通信 形式 。 
然而 ， 它 限制 通信 必须 在 两 个 进程 之 间 进行 。 常 常 有 一 组 进程 进行 交互 的 情况 (例如 ， 完 成 
一 个 原子 动作 ),， 需要 把 通信 发 送 给 整个 组 。 多 路 广播 通信 模式 就 提供 这 样 的 设施 。 一 些 网 络 ， 
例如 以 太 网 ， 提 供 硬件 多 路 广播 机 制作 为 其 数据 链 路 层 的 一 部 分 。 和 否则， 就 得 加 上 进一步 的 
软件 协议 。 

所 有 网 络 和 处 理 器 都 或 多 或 少 地 不 可 靠 。 所以， 可 以 设计 一 个 组 通信 协议 族 ， 其 中 每 一 
个 都 提供 有 特殊 保证 的 多 路 广播 通信 设施 : 

* 不 可 靠 多 路 广播 一 -不 提供 交付 到 组 的 保证 ， 多 重 广播 协议 提供 数据 报 级 服务 的 等 价 物 。 

“可靠 多 重 广播 一 -协议 对 于 将 消息 交付 到 组 做 出 最 努力 的 尝试 ， 但 不 提供 交付 的 绝对 保 

证 。 

“原子 多 路 广播 一 -协议 保证 如 果 组 中 的 某 个 进程 收 到 了 消息 ， 那 么 组 中 的 所 有 成 员 都 收 

到 消息 ， 所 以 消息 要 么 交付 到 全 组 ， 要 么 没有 交付 给 组 中 的 任何 成 员 。 

* 有 序 原子 多 路 广播 一 -除了 保证 多 路 广播 的 原子 性 之 外 ， 协 议 还 保证 组 中 的 所 有 成 员 都 

以 同样 次 序 接收 来 自 不 同 发 送 者 的 消息 。 

协议 给 出 的 保证 越 多 ， 它 们 实现 的 开销 就 越 大 。 再 者 ， 开 销 还 因 使 用 的 失效 模型 而 异 
( 见 5.2 节 )。 

对 于 原子 和 有 序 原子 多 路 广播 ， 重 要 的 是 限制 实现 算法 终止 的 时 间 。 没 有 这 一 点 ， 就 不 
可 能 预期 它们 在 硬 实时 系统 中 的 性 能 。 

现在 考虑 一 个 简单 的 有 序 原子 多 路 广播 ， 其 失效 模型 是 : 

* 处 理 器 安静 地 失效 

“所 有 通信 失效 都 是 失效 不 作为 

“不 发 生 多 于 N 个 的 相 邻 的 网 络 失效 不 作为 

* 网络 是 全 连通 的 ， 没 有 网 络 分 组 
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No 
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为 实现 原子 消息 传输 ,需要 的 就 只 是 传输 每 个 消息 N+ 1 次 ， 这 叫做 消息 漫 射 (diffusion )。 
为 了 通过 漫 射 实现 有 序 性 质 ， 需 要 知道 完成 每 个 消息 传输 所 需 的 时 间 。 假 定 所 有 消息 的 最 坏 
传输 值 是 Tb»， 而 网 络 中 的 时 钟 松 散 同步 的 最 大 差 值 是 Cs。。 每 个 消息 由 其 发 送 者 打上 时 间 截 ， 
其 值 为 其 当地 时 钟 的 值 (Cw,)。 每 个 接受 者 能 在 当地 时 钟 大 于 Coowaer++To+ Cs 时 将 消息 交付 
给 它 的 进程 ， 因 为 到 了 这 个 时 间 ， 所 有 接受 者 都 被 保证 已 经 收 到 消息 ,而 且 消 息 是 有 效 的 。 
这 些 消 息 可 按 其 生效 时 间 排 序 。 如 果 两 个 消息 有 相同 的 生效 时 间 ， 可 给 它们 以 任意 的 次 序 
(例如 ， 使 用 处 理 器 的 网 络 地 址 )。 图 14-10 针 对 N= 1 说 明了 这 个 方法 。 

注意 ， 虽 然 上 述 简单 算法 保证 所 有 处 理 器 以 相同 次 序 收 到 并 处 理 消息 ， 却 不 保证 这 个 次 
序 就 是 消息 发 送 的 实际 次 序 。 这 是 因为 用 于 确定 次 序 的 值 是 基于 处 理 器 的 局 部 时 钟 ， 它 们 可 
HEZEC po . 

14.5.5 处 理 器 失效 


第 5 章 说 明 过 提供 容错 硬件 和 软件 的 两 个 一 般 方法 ， 即 静态 宛 余 法 和 动态 元 余 法 。 虽 然 硬 
件 容错 确实 在 处 理 器 和 通信 失效 时 能 在 实现 可 靠 性 方面 起 主要 作用 ， 但 需要 过 量 的 硬件 去 实 
现 三 模 元 余 ， 所 以 是 昂贵 的 (但 是 快 )。 所 以 ， 本 节 集 中 讨论 通过 软件 方法 提供 容错 。 


T=0 T= 10 T=20 T= 30 T= 40 T=50 T=60 





Tp = 45 时 间 单 位 Dx] 来 自 P 的 消息 b4 来 自 P: 的 消息 
CA =10 时 间 单 位 在 时 间 55 有 效 在 时 间 60 有 效 


图 14-10 一 个 简单 的 基于 漫 散 的 有 序 原子 多 路 广播 
就 现在 而 言 ， 假 设 系统 中 的 所 有 处 理 器 都 是 家 静 失 效 的 。 这 意味 着 ， 如 果 处 理 器 以 任何 
方式 失灵 ， 它 将 蒙受 一 个 永久 的 不 作为 失效 。 如 果 处 理 器 不 是 寂静 失效 ， 那 么 它们 可 能 互相 
551 发 送 无 效 消息 。 这 会 对 下 面 的 讨论 引信 额 外 的 复杂 性 。 
1. 通过 静态 完 余 容许 处 理 器 失效 
在 第 5 章 里 实现 静态 容许 设计 错误 的 背景 下 讨论 过 N 版 本 编程 。 显然 ， 如 果 AN 版 本 程序 的 
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每 个 版 本 都 驻 留 在 不 同 的 处 理 器 上 ， 那 么 这 种 方法 也 容许 处 理 器 失效 。 然 而 ， 即 使 不 利用 设 
计 多 样 性 ， 对 某 些 系统 部 件 的 全 同 复制 以 得 到 所 需 的 可 用 性 也 是 令 人 满意 的 。 这 常 被 称 为 主 
动 复制 (active replication ) 。 

假设 一 个 应 用 是 按 分 布 式 对 象 模型 设计 的 。 能 够 将 对 象 复制 到 不 同 的 处 理 器 上 ， 甚 至 
可 按 具体 对 象 的 重要 性 变化 复制 的 程度 。 对 于 那些 对 应 用 程序 员 是 透明 复制 的 对 象 ， 它 们 
必须 有 确定 性 行为 。 这 意味 着 对 对 象 的 给 定 请 求 序列 、 对 象 的 行为 是 可 预测 的 。 如果 不 然 ， 
在 一 个 复制 对 象 集合 中 的 每 个 复制 对 象 的 状态 会 以 不 同 的 方式 结束 。 这 样 ， 对 那个 对 象 集 
合 发 出 的 任何 请 求 可 能 产生 有 变化 范围 的 结果 。 所 以 ， 对 象 集合 必须 保持 一 致 。 它 的 成 员 
不 得 各 行 其 是 。 

如 果 要 复制 对 象 ， 就 必须 也 复制 每 个 远程 方法 调用 。 而且 ， 它 必须 有 恰好 一 次 的 RPC 
语义 。 如 在 图 14-11 中 说 明 的 ， 每 个 客户 对 象 将 潜在 地 执行 一 个 一 对 多 过 程 调用 ， 而 每 个 服 
务 器 过 程 将 接受 一 个 多 对 一 请 求 。 运行 时 系统 负责 协调 这 些 调用 并 确保 所 需 语义 。 这 就 需 
要 用 专门 调用 周期 性 地 探 察 服务 器 站 点 ， 以 确定 它们 的 状态 ,响应 类 败 将 指出 一 个 处 理 器 
AR. 事实 上 ; 运行 时 系统 必须 支持 某 种 形式 的 成 员 关 系 协议 和 一 个 有 序 原子 多 路 广播 组 
通信 协议 。 





对 象 





复制 品 
服务 器 1 


复制 品 
服务 器 2 


复制 品 2 复制 品 
服务 器 3 


图 14-11 复制 的 远程 过 程 调用 


显 式 地 允许 复制 (进程 级 ) 的 语言 例子 是 容错 并 发 C (Fault Tolerant Concurrent C) 
(Cmelik 等 ，1998 )。 该 语言 假设 处 理 器 有 一 个 失效 -停止 模型 (fail-stop model), 并 提供 分 布 
式 一 致 协议 ， 以 确保 所 有 复制 品 以 确定 性 方式 行事 。 容 错 并 发 C 有 一 个 非常 类 似 于 Ada 的 通信 
和 同步 模型 ， 因 而 它 必须 确保 : 如 果 选 择 语句 的 一 个 分 支 访问 一 个 复制 品 ， 那 人 这 个 分 支 就 
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访问 所 有 的 复制 品 〈 即 使 这 些 复制 品 并 不 是 在 上 锁 步 又 上 执行 )。 也 曾经 有 使 Ada 容 错 的 研究 
工作 ， 例如 (Wellings and Burns, 1996; Wolf, 1998), 

虽然 对 象 的 透明 复制 方法 对 于 提供 容许 处 理 器 失效 能 力 是 有 吸引 力 的 ， 然 而 ， 底 层 多 路 
广播 和 一 致 性 协议 的 开销 却 禁止 硬 实时 系统 这 样 做 。 尤 其 是 在 对 象 是 主动 的 且 包 括 多 于 一 个 
EF (TERRES) 的 场合 ， 运 行 时 一 致 性 协议 (确保 复制 品 之 间 的 一 致 性 ) 必须 在 每 
次 调度 决策 时 都 要 执行 。 用 定期 状态 保存 提供 照 (warm). 备份 可 能 提供 更 便宜 的 解决 方法 。 
用 这 种 方法 ， 对 象 可 被 复制 到 多 个 处 理 器 上 。 然 而 ， 与 完全 复制 不 同 的 是 ， 在 任何 时 候 只 有 
一 个 拷贝 是 活动 的 。 该 对 象 的 状态 被 定期 保存 (一般 是 在 同 另 一 对 象 通信 之 前 和 之 后 ) 到 驻 
留 复制 品 的 处 理 器 上 。 如 果 底 层 节点 失效 ， 就 可 以 从 最 后 一 个 检查 点 重新 启动 一 个 备份 。 

在 分 配给 对 象 使 用 的 处 理 器 资源 的 高 效 使 用 和 失效 恢复 时 间 之 间 显 然 有 -一个 平衡 问题 。 
主动 复制 在 处 理 器 资源 方面 较 贵 ， 但 只 需要 较 少 的 恢复 时 间 ; 对 比 之 下 ， 暖 复制 ( 常 被 称 为 
被 动 复制 ) 较 便 宜 ， 但 恢复 得 较 慢 。 这 导致 一 种 名 为 先行 者 一 追 随 者 (leader-follower) 复制 
的 折衷 方案 (Barrett 等 ，1990 )， 在 这 个 复制 方案 里 ， 所 有 复制 品 是 主动 的 ， 但 有 一 个 被 认为 
是 基本 版 本 ， 并 做 出 所 有 可 能 是 不 确定 性 的 决策 。 将 这 些 决策 告诉 所 有 追随 者 。 这 种 复制 形 
式 比 主动 复制 便宜 ， 也 不 像 被 动 复制 的 恢复 时 间 那 样 长 。 

2. 通过 动态 宛 余 容 许 处 理 器 失效 

向 应 用 透明 地 提供 容错 的 问题 之 一 是 程序 员 不 能 指明 是 降级 执行 还 是 安全 执行 。 静 态 元 
余 和 复制 的 一 个 替代 方案 是 允许 处 理 器 的 失效 由 应 用 程序 员 动 态 地 处 理 。 显 然 ， 本 书 到 目前 
为 止 讨论 的 所 有 能 使 应 用 容许 软件 设计 错误 的 技术 (例如 ， 原 子 动作 ) 都 提供 某 种 程度 的 硬 
件 容错 。 第 5 章 描述 了 容错 的 四 个 阶段 : 出 错 检测 、 损 害 隔 离 和 评估 、 出 错 恢复 和 继续 服务 中 
的 故障 处 理 。 在 处 理 器 失效 时 ， 必 须 执行 下 列 动作 : 

1) 必须 检测 出 〈 一 个 或 多 个 ) 处 理 器 失效 并 通知 系统 中 的 其 余 处 理 器 。 失 效 检 测 通常 由 
底层 分 布 式 运行 时 支持 系统 完成 。 然 而 ， 必 须 有 一 种 合适 的 方式 将 哪些 处 理 器 已 经 失效 告诉 
应 用 软件 。 容 错 并 发 C 提 供 这 样 的 通知 机 制 。 

2) 必须 评估 失效 产生 的 损害 ， 这 需要 知道 哪些 进程 正在 失效 的 处 理 器 上 运行 ， 哪 些 处 理 器 
和 哪些 进程 及 其 状态 ) 仍然 是 活动 的 。 要 实现 这 一 点 ， 应 用 程序 员 必须 能 够 控制 把 哪些 对 象 
必 在 哪些 机 器 上 。 此 外 ， 处 理 器 失效 对 在 失效 处 理 器 执行 的 进程 及 其 数据 的 影响 必须 清 想 ， 还 
有 ， 省 须 定义 失效 对 于 同 那些 进程 及 其 数据 进行 的 交互 (不 管 是 挂 起 的 还 是 未 来 的 ) 的 影响 . 

3) 使 用 损害 评估 的 结果 ， 剩 余 软 件 必须 一 致 地 对 该 失效 作出 一 个 响应 ， 并 采取 行动 去 实 
下 那个 响应 。 为 实现 最 大 的 容错 ， 这 一 部 分 恢复 过 程 必 须 是 分 布 的 。 如 果 只 有 一 个 处 理 器 执 
行 恢复 操作 ， 那 么 该 处 理 器 的 失效 对 于 应 用 将 是 灾难 性 的 。 恢 复工 作 可 能 需要 那些 正 被 改变 
的 进程 之 间 的 通信 路 径 ， 使 得 能 够 提供 替代 服务 。 还 有 ， 因为 选择 的 响应 会 依赖 于 应 用 的 整 
体 状态 ， 必 须 使 某 些 数据 能 在 所 有 机 器 上 使 用 ， 而 且 为 此 要 使 它们 处 于 一 至 的 状态 ， 例 如 ， 
在 航空 电子 系统 中 处 理 器 失效 后 采取 的 动作 将 依赖 于 飞机 的 高 度 。 如 果 不 同 处 理 器 对 这 个 训 
度 有 不 同 的 值 ， 那 么 所 选 的 恢复 过 程 将 为 不 同 目的 服务 。 

4) 只 要 实际 可 行 ， 就 修复 失效 处 理 器 和 /或 其 相关 软件 ， 且 系 统 返 回 其 无 错 状态 。 

本 书 中 考察 的 实时 编程 语言 都 不 提供 应 对 处 理 器 失效 后 动态 重 配 置 的 足够 设施 . 

3. Ada 和 容错 


人 “二 言 没有 对 程序 实现 的 失效 模型 做 任何 假设 。 只 是 规定 了 ;如 果 _ 个 划分 试图 加 另 _. 
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个 划分 通信 ， 而 通信 子 系统 检测 到 一 个 错误 ， 就 引发 预定 义 异 常 Communication_Error。 

Ada 也 不 支持 任何 特定 的 容错 方法 ， 但 允许 实现 提供 适宜 的 机 制 。 以 下 的 讨论 假设 一 个 
Ada 分 布 式 实现 在 失效 -停止 式 处 理 器 上 执行 。 

Ada 也 没有 显 式 地 提供 复制 划分 能 力 (虽然 实现 在 这 一 点 上 是 自由 的 一 一 例如 ， 见 (Wolf， 
1998 ) )。 然 而 ， 划 分 通信 子 系统 (PCS) 可 予 扩 充 ， 所 以 可 以 提供 复制 的 远程 过 程 调 用 设施 。 
每 个 复制 的 划分 可 关联 一 个 可 由 系统 使 用 的 组 标识 符 。 所 有 远程 过 程 调用 都 潜在 地 是 复制 的 
调用 。 包 体 可 能 需要 访问 一 个 有 序 多 路 广播 设施 。 然 而 要 注意 ， 对 于 每 个 调度 决策 涉及 到 整 
个 Ada 运 行 时 系统 的 情况 ， 这 个 方法 不 允许 任意 的 划分 都 被 复制 。 所 以 ， 需 要 进一步 的 限制 。 

通过 在 扩展 的 PCS 中 提供 保护 对 象 能 够 提供 异步 通知 。 运 行 时 系统 检测 到 处 理 器 失效 时 可 
调用 一 个 过 程 。 这 样 就 能 打开 一 个 人 口 ， 它 会 在 一 个 或 多 个 任务 中 引起 异步 控制 转移 。 如 其 
不 然 ， 一 个 单独 的 任务 或 一 个 任务 组 可 以 等 待 失效 的 发 生 。 下 面 的 包 说 明 这 个 方法 。 

Package System.RPC.Reliable is 

type Group Id is range 0 . . 实现 定义 的 值 ; 
-- 同步 复制 的 调用 


procedure Do Replicated RPC(Group : in Group Id; 
Params : access Params Stream Type; 
Results : out Param Stream Access); 


-- 异步 调用 
procedure Do Replicated APC(Group : in Group Id; 
Params : access Params Stream Type); 


type RRPC Receiver is access procedure (Service : in Service Id; 
Params : access Params Stream Type; 
Results : out Param Stream Access); 


procedure Establish RRPC Receiver(Partition : in partition Id; 
Receiver : in RRPC Receiver); 


protected Failure Notify is 

entry Failed Partition (P : out Partition Id); 
private 

procedure Signal Failure(P : Partition Id); 


end Failure Notify; 


private 


end System.RPC.Reliable; 


一 皇 任务 接 到 通知 ， 它 们 必须 评估 已 对 系统 造成 的 损害 。 这 需要 实际 配置 的 知识 。 通 过 
使 用 语言 的 动态 绑 定 设施 可 进行 重 配 置 ( 见 文献 Burns and Wellings (1998)), 

4. 实现 occan2 程 序 的 可 靠 执行 - 

虽然 ecean2 是 为 用 于 分 布 式 环境 设计 的 ， 它 却 没有 任何 失效 语义 。 由 于 内 部 错误 〔 例 如 ， 
数组 办 出 错 ) 失败 的 进程 等 价 于 STOP 进 程 。 若 一 个 进程 正在 一 个 通道 上 等 待 通信， 而 与 之 通 
信 的 务 一 个 进程 是 在 一 个 失效 的 处 理 器 上， 那么 它 将 水 远 等 待 下 去 .除非 它 利用 “超时 ” ap 
和 ， 林 以 想象 对 这 种 事件 合适 的 occam2 语 义 会 将 两 个 进程 都 作为 停止 了 的 进程 ， 并 提供 ”个 
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能 够 通知 某 些 其 他 进程 的 机 制 。 

5. 实现 实时 Java 程 序 的 可 靠 执 行 

Java 要 求 可 被 远程 调用 的 每 个 方法 在 其 抛 出 表 中 声明 RemoteEBxception。 这 使 底层 实 
现 能 够 在 一 个 远程 调用 失败 时 给 出 通知 。 此 外 ，Java 对 于 定义 支持 复制 的 远程 服务 的 可 能 性 
还 没有 定论 。 现 在 实时 Java 未 在 分 布 式 系统 中 使 用 。 


14.6 分 布 式 算法 


本 章 至 此 都 在 关注 分 布 式 程序 使 用 像 Ada、Java 和 occam2 这 些 语 言 的 表达 问题 ， 以 及 容许 
处 理 器 和 通信 失效 的 一 般 问题 。 考 察 在 分 布 式 环境 中 控制 和 协调 资源 访问 所 需 的 特定 分 布 式 
算法 超出 本 书 范围 。 然 而 ， 建 立 一 些 在 分 布 式 环境 中 可 依赖 的 特性 是 很 有 用 的 。 特 别 是 需要 
说 明 事件 怎么 排序 ， 如 何 组 织 存储 器 以 使 其 内 容 在 处 理 器 失效 时 还 能 存在 ， 以 及 怎么 在 处 理 
器 出 故障 时 达成 一 致 。 这 些 算法 在 实现 原子 多 路 广播 协议 时 是 经 常 需要 的 。 

14.6.1 分 布 式 环境 中 的 事件 排序 

在 许多 应 用 中 ， 需 要 决定 系统 中 已 发 生 事 件 的 顺序 。 这 对 于 单 处 理 器 或 紧密 耦合 系统 没 
有 困难 ， 因 为 它们 有 公共 存储 器 和 公共 时 钟 。 然 而 ， 分 布 式 系统 没有 公共 时 钟 ， 并 且 在 处 理 
器 之 间 发 送 消息 有 一 个 延迟 ， 这 意味 着 这 些 系 统 有 两 个 重要 特性 : 

* 对 任何 给 定 的 事件 序列 ， 不 可 能 证 明 两 个 处 理 器 会 观察 到 完全 相同 的 同一 序列 ， 

* 因为 状态 改变 可 以 看 作 是 事件 ， 不 可 能 证 明 任何 两 个 进程 对 于 系统 状态 的 给 定子 集 有 相 

同 的 全 局 视图 。 在 第 12 章 引入 了 事件 的 因果 次 序 概念 ， 以 帮助 解决 这 个 问题 。 

如 果 分 布 式 应 用 中 的 进程 需要 协调 和 同步 它们 的 活动 以 响应 事件 的 发 生 ， 就 必须 给 这 些 事 
件 以 因果 次 序 。 例如， 为 了 检测 共享 资源 进程 之 间 的 死 锁 ， 重 要 的 是 要 知道 一 个 进程 在 请 求 
资源 B 之 前 释放 资源 4。 这 里 给 出 的 算法 能 使 分 布 式 系统 中 的 事件 排序 ， 该 算法 属于 Lamport 
(1978), 

考虑 进程 P， 它 执行 事件 0、p1、p2、p3、p4、…pn。 因 为 这 是 一 个 顺序 进程 ， 事 件 p0 必 
须 在 事件 p1 之 前 已 经 发 生 ，p1 必 须 在 事件 p2 前 已 经 发 生 ， 等 等 。 这 被 写成 50 pl —p2---.— 
Pr。 类 似 地 对 进程 9，40 一 q1 -gq2 一 … qn。 如 果 两 个 进程 是 分 布 的 且 一 者 之 间 没有 通信 ， 
就 不 可 能 说 p0 在 90、41 之 前 或 之 后 发 生 ， 等 等 。 现 在 考察 这 种 情况 : 事件 p1 发 送 一 个 消息 给 
Q， 而 g3 是 接收 来 自 P 的 消息 的 事件 。 图 14-12 说 明了 这 种 交互 。 

由 于 接收 消息 这 件 事 必 然 在 发 送 这 个 消息 之 后 发 生 ， 所 以 p1- q3, Hi Tq3-g4, Tp 
~ 94 〈 即 p1 到 44 可 能 有 因果 关系 )。 关 于 p0 和 40 谁 先 发 生 依然 无 任何 信息 。 这 些 事件 被 称 为 并 


”发 事件 (无 因果 性 次 序 )。 由 于 它们 之 间 无 任何 事件 影响 其 他 事件 ， 所 以 考虑 哪个 先 发 生 并 不 


重要 。 然 而 ， 重要 的 是 所 有 基于 这 个 次 序 作出 决策 的 进程 都 使 用 同一 次 序 。 

为 了 将 分 布 式 系统 中 的 所 有 事件 全 部 排序 ， 必须 为 每 个 事件 关联 一 个 时 间 规 (time stamp). 
然而 ， 这 不 是 一 个 物理 时 间 改 ， 而 是 一 个 逻辑 时 间 葵 ， 系统 中 的 每 个 处 理 器 保持 一 个 逻辑 时 
钟 ， 它 在 那个 处 理 器 上 每 发 生 一 个 事件 时 增加 一 次 。 进程 P 中 的 事件 p1 在 同一 进程 的 p2 之 前 发 
生 ， 如 果 p1 的 逻辑 时 钟 值 小 于 p2 的 逻辑 时 钟 值 的 话 。 显然 ， 对 于 同 每 个 进程 关联 的 逻辑 时 钟 ， 
能 用 这 个 方法 显示 出 同步 关系 。 例 如 ， ?在 p1 的 逻辑 时 钟 可 能 大 于 Q 在 g3 的 逻辑 时 钟 ， 然而 ， 
Pl 必须 在 g3 之 前 发 生 ， 因为 一 个 消息 在 发 送 前 不 可 能 被 接收 。 为 解决 这 个 问题 ， 必 须 让 在 进 
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息 ， 必 须 将 它 的 逻辑 时 钟 置 成 一 个 值 ， 这 个 值 是 自己 拥有 的 值 和 下 面值 中 的 较 大 者 : 

* 消息 中 发 现 的 时 间 避 至 少 加] 一 一 对 于 异步 消息 传送 ; 或 

© 时间 改 一 一 对 于 同步 消息 传送 。 
这 能 确保 无 任何 消息 在 发 送 前 就 被 接收 。 

用 上 述 算法 ， 系 统 中 的 所 有 事件 都 关联 了 一 个 时 间 戳 ， 并 可 据 此 部 分 排序 。 如 果 两 个 事件 有 
相同 时 间 惟 ， 那 就 能 使 用 任意 条 件 (例如 使 用 进程 标识 符 的 数值 )， 给 出 事件 的 一 个 人 工 全 序 。 


P 


p4 q4 
p3 q3 
p2 q2 
p1 qi 
po qo 


图 14-12 两 个 交互 进程 

14.6.2 全 局 时 间 的 实现 

上 面 描述 的 全 局 排序 法 使 用 逻辑 时 钟 。 一 个 替代 方案 是 使 用 一 个 基于 物理 时 间 的 全 局 时 
间 模 型 。 这 可 以 通过 所 在 节点 访问 同一 时 间 源 的 办 法 实现 ， 但 对 于 节点 拥有 自己 的 时 钟 的 情 
况 更 为 有 用 。 所 以 ， 必 须 协调 这 些 局 部 时 钟 。 做 这 件 事 有 许多 算法 。 所 有 这 些 算法 都 涉及 补 
偿 不 可 避免 的 时 钟 漂移 ， 即使 时 钟 在 概念 上 都 等 同 的 情况 ， 这 种 漂移 也 会 发 生 。 

使 用 石英 晶体 ， 两 个 时 钟 在 6 天 左右 即 可 漂移 1 秒 。 如 果 时 间 性 事件 是 在 微 秒 级 的 ， 那 么 8 
分 钟 的 漂移 就 会 成 为 问题 。 

为 限定 时 钟 漂移 ， 必须 在 每 个 节点 操纵 时 间 基 准 。 时 间 是 不 会 倒退 的 ， 虽然 可 以 让 慢 的 
时 钟 向 前 跳 若 干 “ 滴 答 ”， 快 的 时 钟 就 只 能 让 它 慢 下 来 ， 而 不 是 把 时 间 向 后 拨 。 

时 钟 协调 算法 将 为 任何 两 个 时 钟 之 间 的 最 大 差 值 提供 一 个 界限 A (被 一 个 外 部 参考 时 钟 观 
察 到 )。 现在 可 假设 事件 4 先 于 事件 B， 当 ( 且 仅 当 ) 

KA) + A< (B) 

其 中 x(4) 是 事件 4 的 时 间 。 

实现 节点 之 闻 同 步 的 一 种 方法 是 ， 中 心 时 间 服务 器 进程 5 根据 请 求 按 它 自 己 的 时 钟 提供 时 
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间 。 这 个 时 间 服 务 器 可 能 被 关联 到 一 个 外 部 时 间 源 或 有 一 个 较 精 确 的 硬件 时 钟 。 或 者 它 可 以 
是 系统 的 任意 节点 ， 但 被 当 作 系统 时 间 源 。 在 分 布 式 系统 中 ， 通 信 不 是 瞬时 的 ， 所 以 由 5 提供 
的 时 间 会 有 两 个 误差 源 一 一 由 5 返回 消息 所 花 时 间 的 变异 性 和 一 旦 客户 接收 该 消息 后 的 灵敏 性 
引入 的 某 种 不 确定 性 。5 在 读 其 时 钟 和 送出 消息 之 间 是 不 被 抢占 也 是 很 重要 的 。 
为 了 减少 消息 往返 引入 的 抖动 ，$ 可 以 定期 送出 自己 的 时 间 。 此 外 ， 如 果 使 用 一 个 高 优先 
级 消息 〈$ 自 身 有 高 优先 级 )， 则 可 使 变异 性 的 其 他 来 源 最 少 。 
对 5 的 客户 的 另 一 种 方法 是 连同 消息 发 送出 自己 的 时 间 。5 在 接收 消息 时 看 看 自己 的 时 钟 ， 
并 算出 一 个 校正 因子 6: 
ô= t(client) + min — (S) 
其 中 mi 是 来 自 客户 消息 的 最 小 通信 延迟 。 
然后 ， 校 正 因 子 被 传送 向 客户 。 第 二 个 消息 的 传输 时 间 并 不 是 时 间 至 上 的 。 在 接受 第 二 
个 消息 时 ， 若 6 的 值 是 负 的 ， 客 户 就 向 前 拨 自 己 的 时 钟 ( 以 8)， 车 6 是 正 的 ， 就 以 这 个 量 减 慢 
自己 的 时 钟 。 单 个 时 钟 源 的 使 用 方案 简单 ， 但 易 受 $ (或 是 执行 它 的 节点 ) 的 单 点 失效 支配 。 
其 他 算法 使 用 一 种 分 散 方 法 ， 即 所 有 节点 广播 它们 的 时 间 并 进行 一 致 性 表决 。 这 样 的 表决 可 
能 去 除 界外 的 值 。 这 些 时 钟 同步 算法 必须 满足 两 个 特性 ， 即 一 致 性 和 准确 性 。 
* 一 致 性 条 件 一 一 仅 当 任意 两 个 无 故障 时 钟 之 间 的 偏 斜 在 界 内 时 ， 它 才 满 足 ; 
* 准确 性 条 件 一 仅 当 所 有 无 故障 时 钟 相对 于 真实 时 间 的 漂移 都 在 界 内 时 ， 它 才 注 足 。 
14.6.3 实现 稳定 存储 
在 许多 实例 中 ， 必 须 访问 当 处 理 器 崩溃 时 其 内 容 得 以 保存 的 存储 器 ， 这 称 为 稳定 存储 
(stable storage )。 由 于 任何 处 理 器 的 主 存储 器 都 是 易 坏 的 ， 必 须 用 磁盘 (或 其 他 形式 的 不 易 坏 
存储 器 ) 作为 稳定 存储 装置 。 但 是 ， 写 磁盘 操作 不 是 原子 操作 ， 因 为 该 操 作 可 能 在 中 途 崩 涡 。 
发 生 这 种 事 的 时 候 ， 恢 复 管理 程序 不 可 能 确定 该 操作 是 否 已 经 完成 。 为 解决 此 问题 ， 数 据 的 
每 个 块 都 在 磁盘 上 的 不 同 区 域 存储 两 次 。 这 些 区 域 的 选择 使 得 当 一 个 区 域 的 读 头 损坏 时 不 会 
破坏 另 一 区 域 ， 如 果 需 要 ， 它 们 可 以 在 物理 上 分 离 的 磁盘 驱动 器 上 。 假 设 磁盘 装置 将 指出 一 
个 单独 的 写 操作 是 否 成 功 完成 (利用 元 余 检 查 )。 在 没有 处 理 器 失效 的 情况 下 ， 这 个 方法 是 将 
数据 块 写 到 磁盘 的 第 一 个 区 域 (这 个 操作 可 能 需要 重复 ， 直 到 它 成 功 )， 只 在 成 功 的 情况 下 ， 
这 个 块 才 被 写 到 磁盘 的 第 二 个 区 域 。 
在 修改 稳定 存储 时 若 发 生 了 骨 溃 ， 可 执行 如 下 的 恢复 例 程 。 
read blockl; 
read block2; 
if both are readable and block 1 = block2 then 
-- 付 么 也 不 做 ， 崩 溃 没 有 影响 稳定 存储 
else 
if one block is unreadable then 
-~ 将 好 块 复制 到 坏 块 
else 
if both are readable but different then 
-- 复制 blockl 到 block2 (或 反 过 来 ) 
else 


-- 发 生 了 灾难 性 失效 ， 两 个 块 都 不 可 读 


end 
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end; 


end; 

即使 在 该 算法 的 执行 过 程 中 有 后 续 的 崩溃 ， 它 也 会 成 功 。 
14.6.4 故障 性 进程 出 现时 达成 一 致 

在 本 章 前 面 假定 : 若 一 处 理 器 失效 ， 它 就 寂 静 地 失效 。 这 意味 着 处 理 器 有 效 地 停止 所 有 执 
行 并 且 不 参与 同系 统 中 任何 其 他 处 理 器 的 通信 。 确 实 ， 上 面 给 出 的 稳定 存储 算法 就 做 了 这 样 的 
假设 : 处 理 器 崩溃 导致 处 理 器 立即 停止 其 执行 。 没 有 这 个 假设 的 话 ， 有 毛病 的 处 理 器 就 可 能 进 
行 任意 的 状态 迁移 并 向 其 他 处 理 器 发 送 雇 误 消息 。 因 此 ， 即 使 逻辑 上 正确 的 程序 也 不 能 保证 产 
生 希 望 的 结果 。 这 会 使 得 看 起 来 不 可 能 实现 容错 系统 。 虽 然 可 以 做 出 各 种 努力 去 建造 不 论 部 件 
失效 与 否 都 能 正确 操作 的 处 理 器 ， 却 不 可 能 保证 有 限 数量 的 硬件 做 到 这 一 点 。 所 以 ， 必 须 假设 
失效 数目 的 一 个 界限 。 本 节 考 察 在 不 同 处 理 器 上 执行 的 一 组 进程 怎样 在 组 中 出 现 有 界 数目 的 故 
障 性 进程 时 能 够 达成 一 致 性 。 假 设 所 有 通信 是 可 靠 的 ( 即 足 够 的 复制 以 保证 可 靠 的 服务 )。 

拜占庭 将 军 问题 

往 留 在 故障 性 处 理 器 上 进程 之 间 的 值 一 致 性 问题 通常 被 表达 为 拜占庭 将 军 问题 (Byzantine 
Generals Problem) (Lamport 等 ，1982)。 拜 占 庭 军队 的 若干 分 队 (每 个 分 队 由 自 己 的 将 军 指挥 ) 
包围 一 个 敌人 营地 。 将 军 们 可 通过 通信 员 通 信 ， 并 必须 对 是 否 攻 击 敌人 营地 达成 一致 。 为 此 ， 
每 个 将 军 都 观察 敌 军营 地 ， 并 将 他 或 她 的 观察 告诉 其 他 人 。 但 是 ， 有 一 位 或 多 位 将 军 可 能 是 寻 
Hd. 并且 可 能 传送 错误 信息 。 问 题 是 让 所 有 忠诚 的 将 军 得 到 相同 的 信息 。 一 般 来 说 ， 如 果 他 们 
进行 m+ 1 轮 消息 交换 的 话 ，3m + 1 位 将 军 就 能 对 付 m 个 奸 细 。 为 了 简明 性 ， 我 们 用 四 位 将 军 对 
付 一 个 奸 细 的 算法 来 说 明 这 个 方法 ， 并 做 出 如 下 假设 : 

1) 每 个 发 出 的 消息 都 正确 交付 。 

2) 消息 的 接收 者 知道 谁 发 送 这 个 消息 。 

3) 能 够 检测 到 消息 的 丢失 。 

读者 可 参看 文献 以 得 到 更 一 般 的 解决 方案 (Pease 等 ，1980; Lamport 等 ，1982)。 

考察 将 军 Gi 和 他 /她 观察 到 的 信息 0i。 每 位 将 军 维持 一 个 他 /她 从 其 他 将 军 那里 接收 的 信息 
的 向 量 V。 开 始 时 ，Gi 的 向 量 只 有 值 0i， 即 Vi0) = null(for i<>j) and Vili) = Oi。 每 位 将 军 派 一 
个 通信 员 到 其 他 将 军 那 里 去 传达 他 /她 的 观察 。 中 诚 的 将 军 总 是 发 送 正确 的 观察 ， 奸 细 将 军 可 
能 发 送 一 个 假 观察 并 可 能 向 不 同 将 军 发 送 不 同 的 假 观 察 。 每 位 将 军 接收 这 些 观察 后 就 更 新 他 / 
她 的 向 量 ， 并 将 其 他 三 位 的 观察 值 发 送 给 其 他 将 军 。 显然 ， 奸 细 可 能 发 送 不 同 于 他 /她 接受 的 
观察 ,或 者 根本 不 发 送 。 对 于 后 一 种 情况 ， 将 军 们 可 选择 任意 值 。 

交换 消息 之 后 ， 每 位 忠诚 的 将 军 就 能 根据 从 每 位 将 军 的 观察 接收 的 三 个 值 的 多 数值 构造 
一 个 向 量 。 如 果 没 有 多 数值 存在 ， 他 们 就 假 没 有 进行 观察， 

例 加， 假定 一 位 将 军 的 观察 导致 他 /她 做 出 三 个 结论 之 一 : 攻击 (A)、 退 却 (R) 或 等 和 
WW)。 考 虑 G1 是 个 寻 细 、G2 的 结论 是 攻击 、G3 是 攻击 、G4 是 等 待 的 情况 。 每 个 向 量 的 初始 
状态 如 图 14-13 所 示 。 

PUE. C14). 的 序 标 给 出 将 军 的 编号 ， 那 个 序 标的 项 目 内 容 给 出 那个 将 军 的 观察 和 谁 报 生 
2262 再 罕 。 开 始 时 ， 第 4 位 将 军 在 其 向 量 的 第 四 个 位 置 放 了 - -个 “wait*， 指 出 这 个 观 守 


自 他 自己 。 当 然 ， 在 一 般 情况 下 ， 不 可 能 证 实 是 谁 报告 了 其 个 观 窗外 i 
AAT IBZ Be * 上 观察 。 然 而 ， 在 本 例 中 假设 寻 


wa 





436 #14 Ë 





第 4 位 将 军 第 2 位 将 军 
BEBE Boao 
第 3 位 将 军 


图 14-13 拜占庭 将 军 问 题 一 一 初始 状态 
在 第 一 次 交换 消息 之 后 ， 这 些 向 量 如 图 14-14 所 示 (假设 奸 细 认 识 到 敌人 营地 是 易 受 攻击 
的 并 随机 地 向 其 他 将 军 发 送 退 却 和 等 待 消 息 )。 在 第 二 次 交换 之 后 ， 图 14-15 给 出 了 每 位 将 军 
可 用 的 信息 (再 次 假设 奸 细 随 机 地 发 送 “ 退 却 ” 和 “等 待 ”消息 )。 
第 1 位 将 军 


第 4 位 将 军 第 2 位 将 军 
ITI BGC 
第 3 位 将 军 


图 14-14 拜占庭 将 军 问题 一 -第 一 次 交换 消息 之 后 的 状态 
第 1 位 将 军 





图 14-15 拜占庭 将 军 问 题 一 -第 二 次 消息 交换 
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为 说 明 此 表 是 怎样 得 来 的 ， 考 察 第 4 位 将 军 的 最 后 一 行 。 它 是 从 第 3 位 将 军 那 里 得 到 的 
(如 3 所 指出 的 )， 并 包括 了 第 一 位 和 第 二 位 将 军 的 决定 。 所 以 ， 在 第 一 列 的 R3 表 示 : 第 3 位 将 
军 认 为 第 1 位 将 军 希望 撤退 。 

图 14-16 给 出 了 最 终 (大 多 数 ) 向 量 。 忠 诚 的 将 军 对 于 每 个 其 他 人 的 观察 有 一 致 的 观点 ， 
因此 可 以 做 出 一 致 的 决定 。 | 

如 有 果 能 够 进一步 限制 奸 细 的 行为 ( 即 更 严格 的 失效 模型 )， 则 容忍 m 个 奸 细 (失效) 所 需 
的 将 军 〈 处 理 器 ) 数 可 以 减少 。 例如， 如 果 奸 细 不 能 改变 忠诚 将 军 的 观察 ( 即 他 必须 传送 一 
个 观察 的 签名 副本 ， 签 名 也 不 能 伪造 或 修改 )， 则 只 需要 2m + 1 个 将 军 (处 理 器 ) T. 

利用 拜占庭 将 军 问 题 的 求解 方法 ， 通 过 让 内 部 复制 处 理 器 达成 一 个 拜占庭 协议 ， 就 可 能 
构造 出 一 个 寂静 失效 处 理 器 (Schneider，1984)。 如 果 无 故障 处 理 器 检测 出 了 不 一 致 ， 它 们 就 
停止 执行 。 


第 1 位 将 军 
第 4 位 将 军 第 2 位 将 军 
四 四 回回 DEDE 
第 3 位 将 军 | 


elef 
图 14-16 拜占庭 将 军 问题 -一 -最 终 状态 
14.7 分 布 式 环境 中 的 时 限 调度 


考察 几 个 分 布 式 体系 结构 、 通 信 协 议和 算法 之 后 ， 现 在 可 以 返回 到 理解 建立 在 分 布 式 环境 
上 的 应 用 的 时 态 行为 的 关键 问题 。 在 这 里 ， 系 统 的 不 同 部 件 可 以 不 同 速度 前 进 ， 而 且 通 信 延 迟 
变 得 不 可 忽视 了 。 不 仅 环境 的 时 间 必须 同 计算 机 系统 的 时 间 相 连接 ， 不 同 处 理 器 /节点 也 必须 有 
某 种 形式 的 时 间 连 接 形式 。 同 步 这 个 术语 (在 这 个 上 下 文中 ) 是 指 具有 下 列 特性 的 分 布 式 系统 : 

“ 消息 延迟 有 个 上 界 ， 延 迟 由 发 送 所 用 时 间 、 在 某 通信 链 路 上 的 传输 和 接收 消息 的 时 间 组 

成 。 

“每 个 处 理 器 有 一 局 部 时 钟 ， 并 在 任意 两 个 时 钟 之 间 有 一 个 有 界 漂移 率 ， 

* 处理 器 本 身 至 少 用 最 小 速度 前 进 。 

注意 ， 这 不 意味 着 不 会 发 生 故 障 。 实 际 上， 消息 延 迟 的 上 界 只 用 于 无 故障 处 理 器 在 无 故 
障 链 路 上 通信 的 时 候 。 确实， 上 界 的 存在 可 用 于 提供 失效 检测 。 

不 具备 上 述 三 个 特性 中 的 任 一 特性 的 系统 叫做 异步 的 。 

本 节 只 考虑 同步 系统 。 将 要 研究 两 个 主要 议题 。 第 一 个 是 进程 到 处 理 器 的 分 配 问题 ， 然 
后 讨论 通信 调度 问题 。 
14.7.1 分 配 

PAWA (MELEE) 系统 开发 合适 的 调度 方案 是 一 件 问题 很 多 的 事 。Grahan (1969) 
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指出 : 多 处 理 器 系统 的 行为 很 难 用 它们 展现 的 时 间 方 面 的 行为 预测 。 他 使 用 动态 分 配 ( 即 在 
进程 变 成 可 运行 时 分 配给 处 理 器 )， 能 够 说 明 下 列 反 常 现象 : 

*。 某 个 进程 P 热 行 时 间 的 减少 可 能 导致 它 的 响应 时 间 增 加 。 

。 提 高 进程 P 的 优先 级 ， 可 能 导致 它 的 响应 时 间 增 加 。 

“ 增加 处 理 器 的 数目 ， 可 能 导致 的 响应 时 间 增 加 。 

所 有 这 些 结果 都 显然 同 直觉 冲突 。 

Mok 和 Dertouzos (1978) 指出 对 单个 处 理 器 系统 最 优 的 算法 在 处 理 器 数目 增加 时 并 不 最 
优 。 例 如， 考察 3 个 周期 过 程 P,、Ps 和 P;3， 它 们 必须 在 两 个 处 理 器 上 执行 。 令 Pi 和 P, 有 相同 的 
时 限 要 求 ， 即 有 一 个 50 个 时 间 单位 的 周期 和 时 限 以 及 25 个 时 间 单位 的 执行 需求 (每 周期 ) ; 
令 P; 的 相应 需求 是 100 和 80。 如 果 使 用 (第 13 章 讨论 过 的 ) 速率 单调 算法 ， 已 和 已 将 有 最 高 优 
先 级 并 在 两 个 处 理 器 上 (并 行 地 ) 运行 它们 需要 的 25 个 单位 。 这 就 会 要 P; 在 可 用 的 75 个 单位 
里 完成 80 个 单位 的 执行 。P3 有 两 个 处 理 器 可 用 这 一 事实 与 此 不 相干 (一 个 将 保持 空 闪 )。 作 为 
使 用 速率 单调 算法 是 结果 ，P; 将 错过 它 的 时 限 ， 即 使 平均 处 理 器 利用 率 只 有 65%。 然 而 ， 将 PP 
和 P, 上 映射 到 一 个 处 理 器 和 把 P; 映 射 到 另 一 处 理 器 的 分 配 容易 满足 所 有 时 限 。 

类 似 地 ， 另 外 的 例子 可 以 说 明 最 早 时 限 优先 (EDF) 方案 不 是 最 优 的 。 使 用 最 优 单 处 理 
器 算法 的 困难 不 足 为 怪 , 因为 ， 众所周知， 多 处 理 器 系统 的 最 优 调度 是 NP 难度 的 (Graham 等 ，- 
1979)。 所 以 ， 必 须 寻 找 简 化 问题 的 途径 ， 并 提供 给 出 适宜 次 优 结果 的 算法 。 

1. 周期 进程 的 分 配 

上 述 讨 论 显示 进程 的 合理 分 配 可 显著 影响 调度 性 能 。 考 察 另 一 个 例子 : 4 个 进程 在 两 个 处 
理 器 上 执行 ， 令 它们 的 周期 时 间 为 10、10、14 和 14。 两 个 为 10 的 进程 分 配 到 同一 处 理 器 上 
( 隐 含 着 两 个 为 14 的 进程 分 配给 另 一 个 处 理 器 )， 那 么 可 达到 100% 的 处 理 器 利用 率 。 即 使 4 个 
进程 的 执行 时 间 是 5、5、10、4， 系 统 也 是 可 调度 的 。 然 而 ， 如 果 将 一 个 为 10、 一 个 为 14 的 进 
程 分 配 到 同一 处 理 器 上 (作为 动态 分 配 的 结果 )， 则 最 大 可 利用 率 降 至 83%。 

看 来 ， 这 个 例子 表明 : 将 周期 进程 静态 分 配 比 使 其 移动 要 好 些 ， 后 一 种 情况 会 使 分 配 不 
均衡 并 可 能 使 系统 性 能 下 降 。 即 使 在 使 用 单个 运行 时 分 配器 的 紧 耦 合 系统 上 ， 使 一 个 进程 保 
持 在 同一 个 处 理 器 上 也 要 比试 图 利用 一 个 空闲 处 理 器 (并 冒 不 均衡 分 配 的 风险 ) 要 好 。 

如 果 使 用 静态 部 署 ， 则 时 限 单调 算法 〈 或 其 他 优化 的 单 处 理 器 方案 ) 可 测试 出 每 个 处 理 
器 上 的 调度 性 能 。 在 进行 分 配 时 ， 能 相互 “融洽 ”的 进程 应 当 部 署 在 一 起 〈( 即 在 同一 处 理 器 
上 )， 这 样 有 助 于 提高 利用 率 。 

2. 偶发 和 非 周期 进程 的 分 配 

就 像 看 来 对 周期 进程 使 用 静态 分 配 比 较 有 利 一 样 ， 对 于 偶发 进程 ， 有 一 个 类 似 方法 看 来 
是 个 有 用 的 模型 。 如 果 所 有 进程 都 被 静态 映射 ， 那 么 第 13 章 讨论 的 算法 可 用 于 每 个 处 理 器 
( 即 每 个 处 理 器 实际 上 运行 它 自己 的 调度 程序 /分 派 程序 )。 

计算 执行 时 间 (最 坏 情 况 和 平均 情况 ) 需要 有 关 潜在 阻塞 的 知识 。 在 本 地 处 理 器 上 的 阻 
塞 可 能 是 由 继承 或 高 限 协议 决定 的 。 然 而 ， 在 多 处 理 器 系统 中 有 另 一 种 形式 的 阻塞 ， 当 一 个 
进程 被 另 一 处 理 器 上 的 一 个 进程 延迟 时 就 是 这 种 情况 。 这 叫做 远程 阻塞 而 且 不 易 限 制 。 在 分 
布 式 系统 中 ， 通 过 增加 进程 去 管理 数据 的 分 布 可 将 远程 阻塞 消除 。 例 如 ， 不 是 被 阻塞 去 等 待 
读 取 来 自 远程 站 点 的 数据 ， 而 是 在 那个 远程 站 点 上 增加 一 个 额外 进程 ， 其 作用 是 把 数据 转发 
到 需要 它 的 地 方 。 因 此 这 种 数据 是 局 部 可 用 的 。 对 设计 的 这 种 修改 可 以 系统 化 地 进行 ， 然 而 ， 
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它 确 实 使 应 用 复杂 化 了 (但 是 也 确实 导致 一 个 较 简 单 的 调度 模型 ) 。 

纯 静 态 分 配 策略 的 一 个 缺点 是 不 能 从 一 个 处 理 器 的 剩余 容量 中 得 到 好 处 (同时 另 一 个 处 
理 器 正在 短暂 地 繁忙 )。 对 硬 实时 系统 ， 每 个 处 理 器 都 需要 有 能 力 为 周期 进程 处 理 最 坏 情况 执 
行 时 间 和 为 其 偶发 进程 处 理 最 大 到 达 时 间 和 执行 上 时间。 为 改善 这 种 状况 ，Stankovic 等 (1985) 
以 及 Ramamritham 和 Stankovic (1985) 提出 过 更 灵活 的 任务 调度 算法 。 

在 他 们 的 方法 中 ， 所 有 安全 至 上 的 周期 和 偶发 进程 被 静态 分 配 ， 而 非 安全 至 上 的 非 周 期 
进程 可 以 移动 。 使 用 下 列 协议 ; 

* 每 个 非 周期 进程 到 达 网 络 中 的 某 个 节点 上 。 

* 非 周 期 进程 到 达 的 节点 检查 这 个 新 进程 是 否 能 同 已 有 的 负载 一 起 调度 。 如 果 能 ， 就 称 该 

进程 是 受 此 节点 保证 的 。 

“如果 说 节点 不 能 保证 该 新 进程 ， 就 寻找 有 能 力 保证 它 的 其 他 可 供 选 择 的 节点 。 做 这 件 事 
要 使 用 有 关 整 个 网 络 状态 的 知识 ， 并 竞争 其 他 节点 的 剩余 能 力 。 

* 这 时 ， 该 进程 被 移动 到 新 节点 上 ， 在 那里 调度 它 的 概率 很 大 。 然 而 ， 由 于 竞争 条 件 ， 当 
它 到 达 时 新 节点 可 能 不 会 马上 调度 它 。 所 以 ， 保 证 测试 是 局 部 进行 的 ， 测 试 失败 的 进程 
必须 再 次 移动 。 

* 按 这 种 方式 ， 非 周期 进程 或 者 被 调度 (被 保证 )， 或 者 无 法 满足 时 限 。 

他 们 这 个 方法 的 有 用 性 通过 使 用 一 个 确定 无 保证 进程 应 当 移 动 到 哪里 的 线性 启发 式 算法 而 
得 到 增强 。 这 个 启发 式 算法 的 计算 不 昂贵 (不 像 优 化 算法 ， 它 是 NP 难度 的 )， 但 确实 有 很 高 的 
成 功率 ; 即 用 该 启发 式 算 法 导致 一 个 非 周 期 进程 被 调度 的 概率 很 大 (就 像 是 完全 可 调度 的 )。 

执行 读 启 发 式 算法 和 移动 非 周期 进程 的 开销 是 由 保证 例 程 计 算 的 。 不 过 ， 这 个 方案 只 在 
能 够 移动 非 周期 进程 并 在 这 种 移动 是 高 效 的 时 候 才 可 行 。 某 些 非 周期 进程 可 能 同 硬件 紧密 耦 
合 ， 而 每 个 节点 的 硬件 又 各 不 相同 ， 可 能 至 少 有 一 个 部 件 必 须 在 本 地 执行 。 

14.7.2 调度 对 通信 和 链 路 的 访问 

分 布 式 系统 中 不 同 机 器 的 进程 之 间 的 通信 需要 底层 通信 子 系统 传输 和 接收 消息 。 一 般 来 
说 ,这些 消 息 要 相互 竞争 ， 以 获得 对 网 络 介质 (例如 ， 交 换 机 、 总 线 或 环 路 ) 的 访问 权 。 为 
使 硬 实时 进程 满足 它们 的 时 限 ， 必须 以 一 种 同 每 个 处 理 器 上 进程 调度 一 致 的 方式 调度 对 通信 
子 系统 的 访问 。 如 果 不 这 样 做 ， 那么 在 高 优先 进程 试图 访问 通信 链 路 时 就 可 能 发 生 优 先 级 反 
转 。 诸 如 同 以 太 网 相关 的 标准 协议 不 支持 硬 时 限 传输 ， 因为 它们 使 用 的 是 按 FIFO 次 序 将 消息 
排队 ， 并 在 消息 冲突 时 使 用 不 可 预测 的 后 退 算法 。 

虽然 通信 和 链 路 只 是 另 一 种 资源 ， 但 至 少 有 四 个 方面 的 问题 把 链 路 调度 和 处 理 器 调度 问题 
区 分 开 来 : 

* 与 处 理 器 不 同 ( 它 只 有 一 个 访问 点 )， 一 个 通信 通道 有 许多 访问 点 一 一 每 个 附属 的 物理 

节点 有 一 个 。 因 而 需要 一 个 分 布 式 协议 。 

* 虽然 抢占 式 算法 对 单 处 理 器 的 进程 调度 是 适用 的 ， 消息 传输 中 的 抢占 将 意味 着 整个 消息 
需要 再 次 传输 。 

“除了 由 应 用 进程 加 上 的 时 限 外 ， 缓冲 区 的 使 用 也 有 时 限 一 -在 新 数据 放 进 去 之 前 必须 将 
缓冲 区 内 容 传输 出 去 。 

虽然 分 布 式 环境 中 用 了 许多 特定 目 的 的 方法 ， 至 少 有 三 种 方案 确实 能 够 得 到 可 预测 的 行 
为 。 现 予以 简要 讨论 。 
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1. TDMA 

对 于 单 处 理 器 调度 使 用 循环 执行 的 一 个 自然 扩充 是 对 通信 使 用 循环 方法 。 如 果 所 有 应 用 
进程 是 周期 性 的 ， 就 有 可 能 产生 一 个 按时 间 分 槽 的 通信 协议 。 这 样 的 通信 协议 称 为 TDMA 
(Time Division Multiple Access， 时 分 多 路 访问 )。 每 个 节点 有 一 个 同 其 他 所 有 节点 时 钟 同步 
的 时 钟 。 在 一 个 通信 周期 内 ， 为 每 个 节点 分 配 车 干 它 可 以 进行 通信 的 时 间 槽 。 它 们 同 每 个 节 
点 的 循环 执行 的 执行 槽 是 同步 的 。 不 会 发 生 消息 冲突 ， 因 为 每 个 节点 知道 它 什么 时 候 可 以 写 ， 
此 外 ， 每 个 节点 知道 什么 时 候 有 一 个 消息 需要 它 去 读 。 

TDMA 方 法 的 困难 来 自 调度 的 构造 。 这 个 困难 随 系统 中 的 节点 数 指数 性 地 增长 。 使 用 
了 TDMA 取得 可 观 成 功 的 一 个 体系 结构 是 TTA (Time Triggered Architecture, 时 间 触 发 体系 结构 ) 
(Kopetz，1997)。 它 用 复杂 的 图 归纳 启发 式 算法 去 构造 调度 。TDMA 的 另 一 个 缺点 是 难以 计 
划 什么 时 候 能 够 传输 偶发 消息 。 

2. 定时 令 牌 传递 方案 

纯 时 间 模 方法 的 一 个 推广 是 使 用 令 牌 传递 方案 。 这 时 有 一 种 特殊 的 从 节点 传递 到 节点 的 
消息 〈 令 牌 ，tokea)。 只 有 当 节 点 拥有 令 牌 时 才能 发 送 消息 。 因 为 只 有 一 个 令 牌 ， 因 而 不 会 
发 生 消息 冲突 。 每 个 节点 拥有 令 牌 的 时 间 不 能 超过 一 个 最 长 时 间 ， 因 而 有 一 个 有 界 令 牌 轮转 
时 间 。 . 

有 不 少 协议 使 用 这 个 方法 。 光 纤 FDDI (Fiber Distributed Data Interface, 光纤 分 布 数据 接 
H) 协议 就 是 一 个 例子 。 这 里 消息 被 分 为 两 类 : 同步 的 和 异步 的 。 同步 消息 有 硬 时 间 约 束 ， 
并 被 用 于 确定 每 个 节点 的 令 牌 拥有 时 间 ， 并 因而 称 为 目标 令 牌 轮转 时 间 。 异 步 消息 不 像 这 样 
有 硬 约束 ， 它 们 可 以 通过 一 个 节点 进行 通信 ， 只 要 该 节点 没有 同步 消息 要 发 送 或 令 牌 已 先 到 
达 该 市 点 〈 因 为 其 他 节点 已 经 没有 什么 要 传输 )。 该 协议 的 最 坏 情 况 行为 发 生 在 恰好 一 个 节 真 
刚刚 把 令 牌 交 出 就 有 一 个 消息 到 达 的 时 候 。 此 外 ， 到 那个 时 间 为 止 没有 节点 传输 消息 ， 所 以 
令 牌 很 早 就 交 出 。 在 有 新 同步 消息 的 节点 交 出 令 牌 之 后 ， 其 余 节 点 有 很 多 消息 要 发 送 。 第 一 
个 节点 发 送 它 的 同步 消息 ， 并 且 由 于 令 牌 早已 到 达 ， 它 发 送 完整 的 异步 消息 集 ， 所 有 后 续 节 
点 发 送 它们 的 同步 消息 。 到 令 牌 回 到 感 兴趣 节点 的 时 候 ， 一 个 等 于 两 倍 目标 令 牌 轮转 时 间 的 
时 间 段 已 经 过 去 了 。 这 就 是 有 界 交 付 时 间 。 

3. 基于 优先 级 的 协议 

知道 了 处 理 器 上 使 用 基于 优先 级 调度 的 好 处 ， 就 有 理由 假设 基于 优先 级 方法 对 于 消息 调 
度 是 很 有 用 的 。 这 种 协议 有 两 个 阶段 。 在 第 一 阶段 ， 每 个 节点 指出 想 要 传输 的 消息 的 优先 级 。 
显然 ， 消 息 集中 的 最 大 优先 级 会 占 先 。 在 第 一 阶段 的 末尾 ， 一 个 节点 获得 传输 销 息 的 权利 。 
第 二 阶段 就 只 是 这 个 消息 的 实际 通信 。 在 某 些 协议 中 ， 两 个 阶段 可 以 重 和 到 ( 即 当 一 个 消息 被 
广播 时 ， 该 消息 的 部 分 被 修改 ， 得 以 确定 下 一 个 消息 的 优先 级 )。 

虽然 ， 基 于 优先 级 的 协议 已 经 存在 一 些 时候 ， 其 缺点 是 通信 协议 只 支持 小 范围 的 优先 级 。 
它们 已 被 用 于 区 分 消息 的 广泛 类 别 而 不 是 用 于 消息 调度 。 如 第 13 章 指出 的 ， 基 于 优先 级 调度 
的 最 好 结果 出 现在 每 个 进程 (或 这 里 讨论 的 消息 ) 有 一 个 不 同 的 优先 级 的 时 候 。 幸 好 ， 现 在 
有 些 协 议 确实 提供 大 范围 的 优先 级 。 一 个 例子 是 CAN (Controller Area Network, 控制 器 区 域 
网 络 ) (Tindell 等 ，1995 )。 

在 CAN 2.04 中 ，8 字 节 消 息 的 前 面 有 一 个 11 位 的 标识 符 ， 它 就 是 优先 级 。 在 传输 序列 的 
ASB. ENER (同时 ) 向 广播 总 线 写 其 最 大 优先 级 消息 标识 符 的 第 一 位 ，CAN 协 议 的 行为 
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就 像 一 个 大 与 (AND) 门 ， 如 果 有 任何 节点 写 了 一 个 0， 则 所 有 节点 就 读 一 个 0。0 位 被 称 为 支 
配 位 。 协 议 这 样 前 进 ( 对 标识 符 中 的 每 个 位 ): 

。 如 果 一 个 节点 传输 了 一 个 0， 它 继续 到 下 一 位 。 

“如 果 一 个 节点 传输 了 一 个 1 并 读 回 一 个 1， 则 继续 到 下 一 位 。 

。 如 果 一 个 节点 传输 了 一 个 1 并 读 回 一 全 0， 它 就 退回 ， 并 不 再 进一步 参与 该 轮 传输 。 

标识 符 的 值 越 小 ， 优 先 级 就 越 高 。 由 于 标识 符 是 各 不 相同 的 ， 协 议 被 强迫 终止 在 11 轮 逐 
位 仲裁 后 留 下 来 的 那个 节点 。 于 是 该 节点 传输 它 的 消息 。 

CAN 的 价值 在 于 它 是 个 真正 的 基于 优先 级 的 协议 ， 所 以 第 13 章 进行 的 所 有 分 析 都 适用 。 
CAN 使 用 的 这 类 协议 的 不 足 是 它 限 制 了 通信 的 速度 。 为 使 所 有 节点 “同时 ” 写 其 标识 符 位 并 读 
取 接 着 到 来 的 “与 ” 值 ( 并 在 发 送出 去 之 前 处 理 这 个 值 ， 或 者 是 下 一 位 )， 必 须 给 传输 速度 一 
个 严格 的 界限 。 这 个 界限 实际 上 是 用 于 传输 这 些 位 的 线路 长 度 的 一 个 函数 ， 所 以 CAN 不 适合 地 [569 
理 分 散 的 环境 。 它 实际 是 为 现代 汽车 的 信息 系统 设计 的 一 -这 是 它 取 得 相当 大 成 功 的 地 方 。 

4. ATM 

ATM 可 以 跨 广域网 和 局 域 网 使 用 。 目 标 是 支持 范围 很 宽 的 通信 需求， 诸如 需要 声音 和 视 
频 以 及 数据 传输 。ATM 通 过 一 个 或 多 个 交换 机 支持 点 对 点 通信 。 典 型 情况 是 ， 网 络 中 的 每 台 
计算 机 通过 两 根 光纤 连 到 交换 机 : 一 根 将 通信 流量 传输 到 交换 机 ， 另 一 根 转 接 来 自 交 换 机 的 
通信 流量 。 

所 有 传输 的 数据 被 分 割 成 定 长 的 包 ， 叫 做 信 元 (cell), ， 每 个 信 元 有 一 个 5 字 节 的 首部 和 48 
字 节 的 数据 段 。 应 用 经 由 虚拟 通道 (virtual channel, VC) 通信 。 在 一 个 特定 VC 上 传输 的 数 
据 可 有 某 种 与 之 相关 联 的 时 间 性 行为 ， 诸 如 其 位 率 、 周 期 或 时 限 。 适 配 层 (adaptation layer) 
提供 支持 用 户 特定 种 类 数据 的 专门 服务 ， 该 层 的 精确 行为 是 可 变 的 ， 以 适应 具体 系统 的 数据 
传输 需要 。 正 是 在 这 个 适 配 层 进行 端 对 端 出 错 纠 正和 同步 ， 并 完成 用 户 数 据 到 ATM 信 元 的 分 
段 和 重 装配 。 

典型 的 ATM 网 络 有 多 台 交 换 机 ， 每 台 交 换 机 有 一 个 与 之 关联 的 信 元 排队 策略 一 大 多 数 
早期 的 商业 交换 机 使 用 基本 的 FIFO 策 略 ， 但 现在 却 迎 合 基于 优先 级 排队 。 在 单个 交换 机 内 部 ， 
依据 连接 表 ， 可 建立 若干 交换 机 输入 端口 和 输出 端口 之 间 的 一 组 连接 。 在 输入 和 /或 输出 端口 
可 能 发 生 信 元 的 排队 现象 。 

实时 ATM 解 决 方案 采取 的 常用 方法 如 下 : 

* 预先 定义 所 有 VC 时 间 性 需求 。 

* 预先 定义 分 配给 每 个 VC 的 路 径 和 网 络 资源 。 

“ 控制 每 个 VC 在 它 路 由 经 过 的 每 个 网 络 资源 所 需 的 总 带宽 。 

“ 计算 所 产生 的 延迟 ， 并 评价 从 VC 到 网 络 硬件 的 特定 分 配 的 可 行 性 。 

需要 控制 每 个 VC 使 用 的 带宽 以 避免 网 络 拥挤 。 这 样 做 的 动机 是 支持 每 个 YC 和 网 络 作为 一 
个 整体 的 可 预测 行为 。 当 拥挤 出 现时 ，ATM 信 元 就 处 于 被 放弃 (根据 ATM 层 协议 的 正常 规则 ) 
的 风险 之 中 ， 并 且 难 以 给 出 一 个 不 太 翡 观 的 最 坯 情况 延迟 的 预测 (使 得 能 够 检测 丢掉 的 信 元 
和 可 能 的 重新 传输 )。 
14.73 整体 调度 


一 个 相当 大 的 分 布 式 实时 系统 可 能 包含 数 10 个 处 理 器 和 2 至 3 个 不 同 的 信道 。 处 理 器 和 通 
信子 系统 都 可 以 被 调度 以 使 最 坏 情 况 时 间 性 行为 是 可 预测 的 。 使 用 静态 分 配方 法 有 利于 这 样 
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做 。 对 系统 的 每 个 构件 进行 分 析 之 后 ， 就 有 可 能 将 这 些 预测 组 合 到 一 起 来 检测 同 整个 系统 的 
时 间 性 需求 是 否 一 致 (Tindell and Clark, 1994; Palencia Gutierrez and Gonzalez Harbour, 
1998; Palencia Gutierrez and Gonzalez Harbour，1999)。 为 讲述 这 个 整体 调度 (holistic 
scheduling) 问题 ， 要 考虑 两 个 重要 因素 : 

“一 个 构件 行为 的 变异 会 严重 地 影响 系统 其 他 部 分 的 行为 吗 ? 

"每 个 构件 的 最 坏 情 况 行 为 的 简单 登 加 会 导致 翡 观 的 预测 吗 ? 

变异 量 依赖 于 调度 的 方法 。 如 果 使 用 纯 时 间 触 发 方法 ( 即 经 由 TDMA 通 道 链接 的 循环 执 
行 )， 从 循环 行为 偏离 的 程度 就 很 小 。 然 而 ， 如 果 在 处 理 器 和 通道 上 使 用 基于 优先 级 调度 ， 就 
可 能 有 相当 大 的 变异 。 例 如 ， 考虑 由 另 一 节点 上 一 个 周期 进程 的 执行 启动 的 一 个 偶发 进程 。 
平均 来 说 ， 该 偶发 进程 同 那个 周期 进程 有 相同 的 执行 率 (例如 ， 每 50ms 一 次 )。 但 是 ， 周 期 进 
FE (以 及 后 续 的 启动 该 偶发 进程 的 通信 消息 ) 将 不 会 在 每 个 周期 同样 的 时 间 发 生 。 该 进程 的 
执行 对 于 一 个 调用 可 能 相对 晚 一 些 ， 而 对 下 一 调用 却 早 一 些 。 结 果 ， 偶 发 进程 可 能 仅 在 前 一 
局 动 之 后 的 30ms 就 被 第 二 次 启动 。 将 偶发 进程 作为 周期 为 50ms 的 周期 进程 建 模 是 不 正确 的 ， 
并 会 导致 所 有 时 限 均 满足 这 一 错误 结论 。 幸 而 ， 启 动 时 间 的 这 种 变异 可 利用 13.12.2 节 给 出 的 
JADE Hr AR UR hb d s 

虽然 为 单个 处 理 器 调度 引入 的 响应 时 间 分 析 是 必要 且 充 分 的 ( 即 给 出 处 理 器 的 真实 行为 
的 精确 描述 )， 整 体 调度 却 可 能 是 悲观 的 。 当 在 一 个 子 系统 上 发 生 最 坏 行 为 就 隐 含 着 在 其 他 部 
件 上 会 经 历 并 非 最 坏 的 情况 时 ， 就 是 这 样 。 常 常 只 在 仿真 研究 时 会 多 许 (统计 地 ) Vio dE 
的 等 级 。 需 要 进一步 的 研究 去 确定 整体 调度 的 有 效 性 。 

关于 整体 调度 最 后 一 个 要 注意 的 间 题 是 可 以 把 支持 放 到 分 配 问题 上。 静态 分 配 看 来 是 最 
适 于 使 用 的 。 但 是 ,推导 最 佳 静态 分 配 依然 是 一 个 NP 难度 问题 。 针 对 这 个 问题 考虑 过 许多 启 
发 式 算法 。 最 近 ， 诸 如 模拟 退火 和 遗传 算法 这 样 的 搜索 技术 已 被 用 于 整体 调度 问题 。 已 经 证 
明 它们 是 十 分 成 功 的 ， 并 能 容易 地 扩展 到 用 于 为 容错 而 进行 复制 的 系统 (在 这 些 地 方 当 把 复 
制品 分 配给 不 同 构件 时 必须 想到 分 配 问题 )。 


小 结 


本 章 将 分 布 式 计算 机 系统 定义 为 共同 目的 而 合作 或 实现 共同 目标 的 自治 处 理 元 素 的 集合 。 
当 考虑 分 布 式 应 用 时 提出 的 某 些 议题 引出 了 简单 实现 之 外 的 一 些 基 本 问题 。 它 们 是 ;语言 支 
持 、 可 靠 性 、 分 布 式 控制 算法 和 时 限 调 度 。 
语言 支持 

在 分 布 式 硬件 系统 上 执行 的 分 布 式 软件 系统 的 生产 涉及 : 划分 一 将 系统 划分 成 为 部 件 
(分 布 的 单位 ) 的 过 程 ， 这 些 部 件 适 合 于 安放 在 目标 系统 的 处 理 元 素 上 ; 配置 将 程序 划分 
出 来 的 诸 部 件 同 目标 系统 的 特定 处 理 元 素 相关 联 ; 分 配 一 将 已 配置 系统 调整 成 可 执行 模块 
的 集合 并 下 载 它们 到 目标 系统 的 处 理 元 素 的 实际 过 程 ， 透 明 执行 一 分 布 式 软件 的 执行 ， 对 
运程 资源 能 以 一 种 同位 置 无 关 的 方式 访问 ; 重 配 置 一 对 软件 构件 或 资源 的 位 置 进行 改变 ， 

虽然 occam2 是 为 分 布 式 环境 设计 的 ， 但 还 是 有 些 低级 ， 进 程 是 划分 的 单元 ;配置 在 语言 
中 是 显 式 的 ， 但 既 不 支持 分 配 也 不 支持 重 配置 。 而 且 ， 对 资源 的 远程 访问 也 不 是 透明 的 、 

人 2 也 和 符 库 单元 集合 分 组 成 “划分 "， 划 分 之 间 通 过 远程 过 程 调用 和 远程 对 象 通信 ， 这 
个 语言 既 不 直接 支持 配置 ， 也 不 支持 分 配 和 重 配置 。 
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Java 人 允许 对 象 分 布 ， 对 象 可 通过 远程 过 程 调用 或 “ 套 接 字 (socket)” 进 行 通 信 。Java 语 言 
不 直接 支持 配置 、 分 配 和 重 配置 。 | 

CORBA 有 利于 用 不 同 语言 为 不 同 平台 编制 的 应 用 之 间 的 分 布 式 对 象 和 互 操作 性 ， 这 些 平 
台 得 到 来 自 不 同 供 货 商 的 中 间 件 软件 的 支持 。 

可 靠 性 

虽然 多 处 理 器 的 可 用 性 使 应 用 变 得 容许 处 理 器 失效 ， 它 也 引入 了 发 生 集 中 式 单 处 理 器 系 
统 中 不 会 出 现 的 故障 的 可 能 性 。 尤 其 是 多 处 理 器 引入 了 部 分 系统 失效 的 概念 。 此 外 ， 通 信介 
质 可 能 丢失 、 损 坏 或 改变 消息 的 次 序 。 ， . 

跨 机 器 边界 的 进程 间 通 信 需 要 协议 的 分 层 ， 以 容许 瞬时 的 出 错 状况 。 已 经 确定 了 支持 这 
些 协议 层次 的 标准 。0OSI 参 考 模型 是 一 个 巾 应用、 表示、 会话、 传输、 网络、 数据 链 路 和 物理 
层 组 成 的 分 层 模型 。 它 主要 是 为 了 使 广域网 能 进行 开放 式 访 问 而 开发 的 ， 广 域 网 以 低 带 宽 通 
信和 和 高 出 错 率 为 特征 。TCP/IP 是 另 一 个 主要 以 广域网 为 目标 的 协议 参考 模型 。 然 而 ， 大 多 数 
分 布 嵌 入 式 系统 使 用 局 域 网 技术 ， 并 对 外 部 世界 是 关闭 的 。 局 域 网 以 高 带宽 通信 和 低 出 错 率 
为 特征 。 所 以 ， 虽然 能 够 用 OSI 方 法 实现 语言 级 的 进程 间 通 信 ， 但 实际 中 其 开销 却 经 常 禁止 这 
样 做 。 因 此 ， 许 多 设计 者 将 通信 协议 按 语言 (应 用 ) 和 通信 介质 的 要 求 进行 裁剪 。 这 些 称 为 
轻 量 级 协议 。 

当 进 程 组 进行 交互 时 ， 通 信 必 须 被 送 到 整个 组 。 多 路 广播 通信 模式 提供 这 样 的 设施 ， 可 以 
设计 一 个 组 通信 协议 族 ， 每 个 协议 提供 一 个 有 特定 保证 的 多 路 通信 设施 : 不 可 靠 多 路 广播 一 
不 提供 交付 到 组 的 保证 ; 可靠 多 路 广播 -一 协议 对 于 将 消息 交付 到 组 做 最 好 的 尝试 ， 原 子 多 路 
广播 -一 协议 保证 如 果 组 中 的 某 进 程 收 到 了 消息 ， 则 组 中 的 所 有 成 员 都 收 到 消息 ， 有 序 原子 多 
路 广播 一 除了 保证 多 路 广播 的 原子 性 之 外 ， 协 议 还 保证 组 中 的 所 有 成 员 都 以 同样 顺序 收 到 来 
自 不 同 发 送 者 的 消息 。 

可 通过 静态 或 动态 宛 余 容许 处 理 器 失效 。 静 态 元 余 涉 及 在 不 同 处 理 器 上 复制 应 用 部 件 。 
复制 的 数量 可 依 具 体 构件 的 重要 性 而 异 。 为 应 用 提供 透明 容错 的 问题 之 一 是 程序 员 不 可 能 规 
定 降级 执行 还 是 安全 执行 。 静 态 宛 余 的 另 一 替代 方案 是 容许 处 理 器 失效 由 应 用 程序 员 动态 处 
理 。 这 需要 : 检测 处 理 器 失效 并 告诉 系统 中 的 其 余 处 理 器 ; 必须 评估 已 经 发 生 的 破坏 ， 其 余 
软件 用 这 些 结果 对 响应 达成 一 致 并 进行 必要 的 活动 以 实现 响应 ; 尽 可 能 快 地 修复 失效 的 处 理 
器 和 /或 其 相关 软件 ， 系 统 返回 到 正常 的 无 错 状态 。 很 少 有 实时 编程 语言 提供 合适 的 设施 去 对 
付 处 理 器 失效 之 后 的 动态 重 配置 问题 。 

分 布 式 控制 算法 | 


应 用 中 真正 并 行 性 的 出 现 、 物 理 上 分 布 的 处 理 器 以 及 处 理 器 和 通信 链 路 失效 的 可 能 性 ， 
需要 资源 控制 的 许多 新 算法 。 本 章 研究 了 下 列 算法 : 事件 排序 、 稳 定 存储 实现 和 拜占庭 -到 
性 协议 。 许 多 分 布 式 算法 假设 处 理 器 是 “失效 -停止 ”型 的 ， 这 意味 着 要 么 它们 正确 地 工作 ， 
要 么 在 故障 发 生 时 立即 停止 。 

时 限 调度 


遗憾 的 是 ， 将 进程 动态 地 分 配给 处 理 器 的 一 般 问 题 (使 得 系统 范围 的 时 限 得 到 满足 ) 是 
个 与 中 的 计算 。 所 以 必须 实现 一 个 不 那么 灵活 的 分 配方 案 。 一 个 粗略 的 方法 是 静态 部 署 所 有 
进程 或 只 允许 非 关键 的 进程 移动 。 
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一 旦 处 理 器 分 配 好 了 ， 就 必须 对 通信 介质 进行 调度 。TDMA、 时 间 性 令 牌 传递 和 基于 优 
先 级 的 调度 是 合适 的 实时 通信 协议 。 最 后 ， 端 到 端 时 间 性 需求 必须 通过 考虑 整个 系统 的 整体 
调度 予以 验证 。 
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练习 


14.1 SHE A BR CS M 
14.2 Ada 支 持 一 个 实时 系统 附件 和 分 布 式 系统 附件 。 讨 论 这 两 个 附件 组 成 分 布 式 实时 系统 附件 
的 哪些 方面 。 
14.3 从 数据 抽象 的 观点 讨论 为 什么 在 远程 对 象 的 接口 中 不 应 看 到 变量 。 
14.4 考察 在 一 个 分 布 式 Ada 环 境 中 定时 和 条 件 入 口 调用 的 含义 。 
14.5 下 列 occam2 进 程 有 5 个 输入 通道 和 3 个 输出 通道 。 从 输入 通道 接收 的 所 有 整数 被 输出 到 所 
有 输出 通道 : 
INT I, J, temp: 
WHILE TRUE 
ALT I = 1 FOR 5 
in[I] ? temp 
PAR J = 1 FOR 3 
out(J}! temp 


因为 这 个 进程 有 8 个 通道 接口 ， 它 不 可 能 在 单个 传输 机 上 实现 ， 除非 其 客户 进程 在 同一 传 
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输 机 上 。 将 这 段 代码 变换 使 之 能 在 三 个 传输 机 上 实现 (假设 一 个 传输 机 只 有 4 个 链 路 )。 

14.6 比较 并 对 照 Ada、Java 和 CORBA 的 远程 对 象 模型 。 

14.7 用 Java 能 够 实现 CORBA 的 消息 传递 服务 的 哪些 方面 ? 

14.8 画 出 联合 国安 理会 上 一 位 法 国 代表 想 同 俄国 代表 交谈 的 通信 和 层次。 假设 译员 能 翻译 到 一 
种 公共 语言 (例如 ， 英 语 )， 然 后 将 消息 传递 给 电话 接线 员 。 这 种 层次 化 的 通信 遵循 ISO 
OSI 模 型 吗 ? 

14.9 为 什么 远程 过 程 调用 的 语义 同 普通 过 程 调用 的 语义 不 同 ? 

14.10 如 果 把 OSI 网 络 层 用 于 实现 RPC 设 施 ， 应 当 使 用 数据 报 还 是 虚拟 线路 服务 ? 

14.11 比较 并 对 照 在 处 理 器 失效 时 能 实现 可 靠 系 统 数据 存活 的 稳定 存储 方法 和 复制 数据 方法 。 

14.12 重 做 在 14.6.4 给 出 的 拜占庭 将 军 问题 ， 假 设 G1 是 奸 细 、G2 的 结论 是 退却 、G3 的 结论 是 
等 待 而 G4 的 结论 是 攻击 。 

14.13 假定 实时 通信 子 系统 可 以 选择 以 太 网 或 令 牌 环 状 网 ， 如 果 主 要 考虑 的 是 重负 载 下 的 确定 
性 访问 ， 应 当选 用 哪 一 种 网 ? 

14.14 将 10.8.2 节 给 出 的 算法 修改 成 在 分 布 式 系统 中 的 向 前 出 错 恢复 算法 。 





第 15 章 低级 编程 


15.1 硬件 输入 /输出 机 制 15.7 C 和 老式 实时 语言 
15.2 语言 要 求 15.8 设备 驱动 程序 的 调度 
15.3 Modula-1 159 存储 管理 

15.4 Ada 小 结 

15.5 实时 Java 相关 阅读 材料 

15.6 occam2 练习 


嵌入 式 系统 的 一 个 主要 特征 是 它 同 专用 输入 输出 (UO) 设备 交互 的 要 求 。 但 是 ， 存 在 很 
多 不 同类 型 的 设备 接口 和 控制 机 制 。 这 主要 是 因为 : 不 同 的 计算 机 提供 不 同 的 设备 连接 方 
法 ; 不 同 的 设备 对 控制 有 单独 的 要 求 ; 不 同 制造 商 制造 的 类 似 设 备 有 不 同 的 接口 和 控制 要 求 。 

为 了 提供 低级 设备 编程 所 需 的 高 级 语言 设施 的 基本 原理 ， 必 须 了 解 基本 的 硬件 IO 功能 。 
因此 ， 这 一 章 首先 研究 这 些 机 制 ， 然 后 讨论 一 般 的 语言 特征 ， 最 后 给 出 具体 语言 的 细节 。 

嵌入 式 系统 通常 有 存储 容量 的 限制 ， 因 此 程序 员 必 须 确保 编译 器 只 分 配 正 在 进行 的 作业 
所 需 的 存储 。 此 外 ， 必 须 小 心地 控制 动态 存储 分 配 ， 以 确保 时 间 至 上 的 代码 不 会 被 系统 功能 
(例如 垃圾 回收 ) 的 不 合 时 宜 的 执行 所 抢占 。 


15.1 硬件 输入 /输出 机 制 


就 输入 和 输出 设备 而 言 ， 计 算 机 体系 结构 有 两 个 大 类 : 一 类 是 存储 器 和 IO 设备 逻辑 上 
各 有 一 条 总 线 ， 而 另 一 类 是 存储 器 和 IO 设备 在 同一 逻辑 总 线 上 。 图 15-1 和 15-2 概 略 地 表示 
TEM. 





图 15-1 有 各 自 总 线 的 体系 结构 
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图 15-2 存储 二 映射 式 体系 结构 


设备 接口 通常 是 通过 一 组 寄存 器 。 对 于 存储 器 和 IO 设备 逻辑 上 各 有 一 条 总 线 的 方式 ， 计 算 
机 必须 有 两 组 汇编 指令 :一 组 访问 存储 器 ， 另 一 组 访问 设备 寄存 器 。 后 者 通常 采取 如 下 形式 : 
IN AC, PORT 
578 OUT AC, PORT 


其 中 ，IN 把 由 PORT 标识 的 设备 寄存 器 的 内 容 读 到 累加 器 Ac，0UT 将 累加 器 的 内 容 写 入 设备 
寄存 器 (术语 PORT 在 这 里 用 于 指明 1/O 设 备 总 线 上 的 一 个 地 址 )。 读 取 设 备 状态 可 能 还 有 其 他 
指令 。Intel 486 和 Pentium 就 是 允许 通过 特定 指令 访问 设备 的 体系 结构 的 例子 。 

对 于 设备 位 于 同一 逻辑 总 线 上 的 情况 ， 某 些 地 址 访问 存储 器 位 置 ， 另 一 些 地址 访问 设备 。 
这 种 方法 被 称 为 存储 一 映射 式 MO (memory-mapped 1/O)。Motorola M68000 和 PowerPC 系 列 
的 计算 机 都 有 存储 -映射 式 IO。 

为 了 控制 设备 的 操作 (例如 ， 设 备 初始 化 和 设备 准备 传送 数据 ) 和 控制 数据 传送 (例如 ， 
设备 开始 进行 或 是 进行 数据 传送 ) ， 都 必须 与 设备 对 接 。 可 以 描述 两 种 通用 的 执行 和 控制 输入 
输出 的 机 制 : 状态 驱动 控制 机 制 和 中 断 驱 动 控制 机 制 。 

15.1.1 状态 驱动 

在 这 种 控制 机 制 中 ， 为 了 确定 给 定 设备 的 状态 ， 程 序 执行 显 式 的 测试 。 一 旦 确定 了 设备 
的 状态 ， 程 序 就 能 执行 适当 的 动作 。 通 常 有 三 种 硬件 指令 支持 这 种 机 制 ， 它 们 是 : 

* 测试 操作 ， 使 程序 确定 给 定 设备 的 状态 ; 

“控制 操作 ， 指 导 设备 执行 依赖 于 非 传送 设备 的 动作 ， 如 定位 磁盘 读 磁头 ; 

“IO 操作 ， 在 设备 和 CPU 之 间 进 行 实际 数据 传送 。 

虽然 状态 驱动 IO 的 设备 价格 不 昂贵 ， 在 几 年 前 很 普遍 ， 但 是 现在 因为 硬件 成 本 不 断 下 降 ， 
大 部 分 设备 是 中 断 驱动 的 。 然 而 ， 当 然 可 以 关闭 中 断 而 代 之 使 用 轮 询 设备 状态 。 中 断 也 增加 
了 实时 系统 的 不 确定 性 行为 ， 所 以 有 时 在 安全 环境 中 会 被 禁止 一 -例如 ， 在 不 能 限制 中 断 数 
量 的 时 候 。 

15.1.2 中 断 驱 动 


即使 使 用 中 断 驱 动机 制 ， 仍 然 有 很 多 可 能 的 变异 ， 这 依赖 于 传送 必须 怎样 初始 化 和 怎样 
控制 。 其 中 的 三 种 变异 是 :中断 驱动 程序 控制 、 中 断 驱动 程序 启动 和 中 断 驱动 通道 程序 控制 。 








ONARE > P 

1. 中 断 驱动 程序 控制 | 

这 里 ， 设 备 的 中 断 请 求 是 作为 遇 到 某 些 事件 〈 例 如 数据 到 达 ) 的 结果 。 当 请 求 被 确认 的 
时 候 ， 处 理 器 挂 起 正在 执行 的 进程 ， 调 用 指定 的 中 断 处 理 进程 ， 这 个 进程 执行 适当 的 动作 去 
响应 中 断 。 当 中 断 处 理 进程 完成 它 的 功能 时 ， 处 理 器 的 状态 被 恢复 到 中 断 前 的 状态 ， 然 后 处 
理 器 的 控制 权 归 还 给 先前 被 挂 起 的 进程 。 

2 中 断 驱动 程序 启动 

这 种 类 型 的 输入 /输出 机 制 通常 被 称 为 是 直接 存储 器 访问 (或 是 DMA)。DMA 设 备 位 于 输 
入 /输出 设备 和 主 存储 器 之 间 。 在 IO 设备 和 存储 器 之 间 传送 数据 方面 ，DMA 设 备 取代 了 处 理 
器 。 虽然 IO 是 通过 程序 启动 的 ， 但 是 DMA 设 备 控制 实际 的 数据 传送 《每 次 一 块 )。 对 于 每 一 
段 要 被 传送 的 数据 ，DMA 设 备 在 每 个 存储 周期 产生 一 个 请 求 ， 当 请 求 被 接受 后 就 开始 传送 。 
当 整 块 的 数据 传送 完毕 后 ，DMA 设 备 产 生 一 个 传送 完毕 中 断 。 这 是 由 中 断 驱 动 程序 控制 机 制 
处 理 的 。 

术语 周期 窒 取 常常 用 于 指 DMA 设 备 对 访问 存储 器 产生 的 影响 。 它 可 能 导致 不 确定 性 的 行 
为 ， 并 使 得 很 难 计算 程序 的 最 坏 情 况 执行 时 间 (参看 13.7 节 )。 

3. 中 断 驱 动 通道 程序 控制 

通过 尽 可 能 地 减少 中 央 处 理 器 介入 处 理 输入 /输出 设备 ， 通 道 程序 控制 的 输入 /输出 扩展 了 
程序 启动 输入 /输出 的 概念 。 这 种 机 制 由 三 种 主要 的 部 件 组 成 :硬件 通道 和 连接 设备 、 通 道 程 
Hr (通常 被 称 为 “脚本 ”) 和 输入 /输出 指令 。 

硬件 通道 操作 包括 以 上 所 说 的 DMA 设 备 的 操作 。 此 外 ， 按 照 通道 程序 的 指令 ， 通 道 指示 
设备 控制 操作 。 通 道 程序 的 执行 从 应 用 程序 里 面 启 动 。 一 旦 通道 被 命令 执行 通道 程序 ， 选 定 
的 通道 和 设备 就 独立 于 中 央 处 理 器 执行 ， 直 到 指定 的 通道 程序 结束 ， 或 者 是 发 生 了 某 个 异常 
情况 。 通 道 程序 通常 由 一 个 或 多 个 通道 控制 字 组 成 ， 这 些 控制 字 每 次 由 通道 解码 并 执行 一 个 
控制 字 。 

在 很 多 方面 ， 硬 件 通道 可 以 被 看 作 是 一 个 与 中 央 处 理 器 共享 存储 器 的 自治 进程 。 它 对 中 
央 处 理 器 的 存储 器 访问 次 数 的 影响 是 不 可 预测 的 ( 同 使 用 DMA 设 备 一 样 )。 
15.1.3 中 断 驱动 设备 所 需 的 要 素 


从 上 一 节 可 以 看 出 ， 中 断 在 控制 输入 /输出 中 的 作用 是 非常 重要 的 。 它 使 输入 /输出 得 以 异 
步 执 行 ， 从 而 避免 了 “ 忙 等 待 ”或 是 不 断 的 状态 检测 (如果 使 用 纯粹 的 状态 控制 机 制 ， 这 种 
检测 就 是 必需 的 )。 

为 了 支持 中 断 驱 动 的 输入 和 输出 ， 需 要 以 下 机 人 制 : 

1. 上 下 文 切换 机 制 

当中 断 发 生 时 ， 必 须 保存 当前 处 理 器 的 状态 ， 然 后 启动 适当 的 服务 例 程 。 一 旦 中 断 服务 
完成 ， 先 前 的 进程 被 恢复 并 继续 执行 。 或 者 是 ， 由 于 中 断 ， 调 度 程序 选择 了 一 个 新 的 进程 继 
续 执 行 。 整 个 的 这 种 过 程 被 称 为 上 下 文 切换 ， 它 的 动作 可 以 概括 如 下 : 

* 立即 保存 中 断 发 生前 的 处 理 器 状态 ; 

* 安排 处 理 器 到 所 需 状态 ， 以 处 理 中 断 ; 

* 中 断 处 理 结束 后 ， 恢 复 挂 起 进程 的 状态 。 

在 处 理 器 上 执行 的 进程 的 状态 包括 : 

À 在 执行 序列 中 当前 (或 下 一 条 ) 指令 的 存储 器 地 址 ; 
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。 程 序 状 态 信息 (可 能 包括 关于 处 理 方式 、 当 前 优先 级 、 存 储 器 保护 、 人 允许 的 中 断 等 信 
B); 

。 可 编程 寄存 器 的 内 容 。 

提供 的 上 下 文 切换 类 型 可 以 用 进程 状态 保护 的 程度 和 恢复 程度 (这 是 通过 硬件 完成 的 ) 
刻画 。 可 以 区 别 三 种 级 别 的 上 下 文 切换 : 

。 基 本 的 一 只 保存 程序 计数 器 ， 加 载 新 的 上 下 文 ; 

。 部 分 的 一 一 保存 程序 计数 器 和 程序 状态 寄存 器 ， 加 载 新 的 上 下 文 ; 

。 完 全 的 -一 -进程 所 有 的 上 下 文 都 被 保存 ， 加 载 新 的 上 下 文 。 

依赖 于 处 理 器 状态 保存 程度 的 需求 ， 可 能 需要 通过 显 式 软件 支持 对 硬件 动作 进行 增补 。 
例如 ， 局 部 上 下 文 切 换 对 于 将 处 理 程序 看 作 过 程 或 子 程序 的 中 断 处 理 模型 来 说 可 能 足够 了 。 
然而 ， 如 果 处 理 程序 被 看 作 是 -- 个 有 自己 的 栈 和 数据 区 的 单独 的 进程 ， 就 需要 有 一 个 在 中 断 
进程 和 处 理 进程 之 间 进行 完全 上 下 文 切换 的 低级 处 理 程序 。 另 一 方面 ， 如 果 硬 件 承 担 了 完全 
上 下 文 切换 ， 就 不 需要 这 样 的 低级 处 理 程序 。 大 部 分 处 理 器 只 提供 部 分 上 下 文 切换 。 然 而 
ARM 处 理 器 确实 提供 了 快速 中 断 ， 这 时 ， 还 保存 一 些 通用 寄存 器 。 

需要 注意 的 是 ， 一 些 现代 的 处 理 器 允许 指令 获取 、 解 释 和 执行 的 同步 进行 。 有 些 处 理 器 
还 允许 指令 不 按照 程序 指定 的 顺序 执行 。 本 章 假 设 中 断 是 精确 的 (precise) (Walker and 
Cragon，1995)， 它 的 意思 是 ， 当 中 断 处 理 程序 执行 时 : 

。 中 断 指令 前 发 布 的 所 有 指令 必须 执行 完 ， 并 正确 地 修改 程序 状态 ; 

* 中断 指令 后 发 布 的 指令 没有 执行 ， 没 有 程序 状态 被 改变 ; 

- 如果 是 中 断 指令 本 身 引 起 中 断 (例如 ， 造 成 存储 器 破坏 的 指令 )， 那 么 要 么 执行 完 这 条 

指令 ， 要 么 根本 不 执行 。 

如 果 中 断 是 不 精确 的 ， 就 假设 恢复 对 于 中 断 处 理 软件 是 透明 的 。 参 阅 参 考 文献 [Walker 
and Cragon (1995) ] 中 关于 中 断 处 理 的 分 类 。 

2. 中 断 设备 的 标识 

设备 在 被 控制 的 方法 上 有 所 不 同 ， 因 此 它们 需要 不 同 的 中 断 处 理 例 程 。 为 了 调用 适当 的 
处 理 程序 ， 必 须 有 一 些 标识 中 断 设备 的 手段 。 可 以 区 分 出 四 种 中 断 设 备 的 标识 机 制 ; 向 量化 、 
状态 、 轮 询 和 高 级 语言 原 语 。 

标识 中 断 设 备 的 向 量化 机 制 是 由 一 组 专门 的 (通常 连续 的 )、 称 为 中 断 向 量 表 的 存储 位 置 
和 设备 地 址 到 中 断 向 量 的 一 个 硬件 映射 组 成 的 。 中 断 向 量 表 可 以 被 一 个 特定 的 设备 使 用 ,也 
可 以 被 几 个 设备 共同 使 用 。 程 序 员 必须 将 特定 的 中 斯 向 量 表 的 位 置 显 式 地 与 中 断 服务 例 程 关 
联 起 来 。 通 过 将 向 量 表 的 位 置 设置 为 服务 例 程 的 地 址 、 或 设置 为 引起 转移 发 生 所 需 例 程 的 指 
令 而 做 到 这 一 点 。 通 过 这 个 方法 ， 服 务 例 程 直接 与 中 断 向 量 表 位 置 连接 在 -- 起 ， 这 又 进而 间 
接地 连接 到 一 个 设备 或 是 一 组 设备 上 。 因 此 ， 当 一 个 特殊 的 服务 例 程 被 调用 并 执行 时 ， 中 断 
设备 也 就 隐 含 地 被 识别 出 来 了 。 

标识 中 断 设备 的 状态 机 制 ， 被 用 于 儿 个 设备 连接 到 一 个 设备 控制 器 的 机 器 配置 ， 并 且 这 
些 机 器 配置 没有 各 自 的 中 断 向 量 表 的 情况 。 这 种 机 制 也 常用 于 一 个 广义 的 服务 例 程 将 要 开始 
处 理 所 有 中 断 的 情况 。 使 用 这 种 机 制 ， 每 个 中 断 有 一 个 相关 的 状态 字 ， 它 指明 引起 中 断 的 设 
备 和 中 断 的 原因 (还 有 其 他 的 东西 )。 对 于 一 个 给 定 的 中 断 或 中 断 类 ， 状 态 信息 可 以 由 专门 存 
储 位 置 中 的 硬件 自动 提供 ,或 者 可 以 通过 一 些 适当 的 指令 去 检索 。 
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轮 询 设备 标识 机 制 是 所 有 这 些 里 面 最 简单 的 一 种 。 当 中 断 发 生 时 ， 通 用 的 中 断 服务 例 程 
被 调用 去 处 理 中 断 。 为 了 确定 是 了 娜 个 设备 请 求 中 断 ， 要 轮 询 每 一 个 设备 的 状态 。 当 中 断 设备 
被 标识 后 ， 再 用 适当 的 方法 对 中 断 进行 服务 。 

在 一 些 现代 的 计算 机 体系 结构 中 ， 中 断 处 理 直 接 与 一 个 高 级 语言 原 语 相关 联 。 在 这 些 系 
统 中 ， 中 断 通常 被 看 作 是 到 相关 通道 的 同步 消息 。 在 这 种 情况 下 ， 设 备 由 那个 变 成 主动 的 通 
道 来 标识 。 

3. 中 断 识 别 

一 旦 设备 被 识别 了 ， 适 当 的 中 断 处 理 例 程 就 必须 确定 它 为 什么 产生 中 断 。 通 常 ， 这 可 以 
通过 设备 提供 的 状态 信息 得 到 ， 或 是 通过 弄 清楚 同一 设备 通过 不 同 的 向 量 位 置 或 通道 发 生 的 
不 同 中 断 得 到 。 

4. 中 断 控 制 

一 且 设 备 接 通 并 启动 了 ， 虽 然 它 可 以 产生 中 断 ， 但 是 中 断 通常 被 忽视 ， 除 非 这 个 设备 处 
于 允许 中 断 状 态 。 中 断 的 这 种 控制 (允许 /禁止 ) 通过 下 面 的 中 断 控 制 机 制 实现 。 

中 断 状态 控制 机 制 提 供 标记 (flag) 以 允许 和 禁止 中 断 ， 这 种 标记 或 者 在 中 断 状态 表 中 ， 
或 者 是 通过 设备 和 程序 状态 字 。 标 记 可 以 通过 常规 的 、 面 向 位 的 指令 或 是 专门 的 位 测试 指令 
访问 (也 可 以 修改 )。 

中 断 屏 项 控制 机 制 将 每 个 设备 中 断 和 一 个 字 中 特定 的 位 位 置 联系 起 来 。 如 果 这 个 位 被 设 
定 为 1， 则 中 断 被 禁止 ;如 果 设 为 0， 则 中 断 被 允许 。 中 断 屏蔽 字 可 以 通过 常规 的 面向 位 的 
(或 面向 字 的 ) 指令 寻 址 或 只 能 通过 特定 的 中 断 屏 项 指令 访问 。 

级 别 中 断 控制 机 制 将 设备 和 确定 的 级 别 联系 起 来 。 当 前 处 理 器 的 级 别 确定 哪 一 个 设备 可 
以 或 不 可 以 中 断 。 只 有 那些 有 较 高 逻辑 级 别 的 设备 可 以 中 断 。 如 果 最 高 逻辑 级 是 活动 的 ， 那 
就 只 允许 那些 不 能 被 禁止 的 中 断 (例如 电源 失效 )。 这 并 不 明确 地 禁止 中 断 ， 所 以 处 于 比 当前 
处 理 器 级 别 低 的 逻辑 级 的 中 断 还 是 可 以 产生 的 、 并 且 当 处 理 器 的 级 别 适当 降低 的 时 候 ， 也 不 
用 重新 使 之 被 允许 。 

5. 优先 级 控制 

有 些 设备 比 其 他 设备 更 紧急 ， 因 此 经 常 把 优先 级 设施 与 中 斯 关联 起 来 。 这 种 机 制 可 以 是 
静态 的 也 可 以 是 动态 的 ， 并 且 通 常 与 设备 中 断 控制 设施 和 处 理 器 的 优先 级 有 关系 。 

15.1.4 一 个 简单 的 VO 系统 的 例子 

为 了 阐明 LO 系统 的 各 种 成 分 ， 这 里 描述 了 一 个 简单 的 机 器 。 它 不 严格 地 基于 摩托 罗拉 
68000 系 列 的 计算 机 。 

机 器 上 支持 的 每 种 设备 都 有 它 的 操作 必需 的 、 很 多 不 同类 型 的 寄存 器 。 这 些 寄存 器 是 存 
储 一 映射 式 的 。 最 常用 的 类 型 就 是 包含 了 所 有 设备 状态 信息 ， 并 能 表示 允许 (enable) Xi 
(disable) 设备 中 上 断 的 控制 和 状态 寄存 器 。 数 据 缓冲 区 寄存 器 是 作为 通过 设备 传送 到 机 器 内 或 
发 送出 去 的 临时 存储 数据 的 缓冲 区 寄存 器 。 | 

计算 机 的 典型 控制 和 状态 寄存 器 的 结构 如 下 : 

位 

15-12 : 出 错 -~ 设备 出 错时 置 1 


11 : ft -- 设备 忙 时 置 1 
10- 8 : 单元 选择 -- 有 多 个 设备 需要 被 控制 
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7 做 完 /就 绪 -- I/0 完 成 或 设备 就 结 
6 : “人 允许 中 断 -- 置 1 时 允许 中 新 
5- 3 : 保留 - -- 为 未 来 使 用 保留 
2- 1 : 设备 函数 -- 置 1 指 出 所 需 函 数 
0 :设备 允许 操作 -- 置 1 指出 设备 允许 操作 
面向 字符 的 设备 使 用 的 数据 缓冲 区 寄存 器 的 典型 结构 是 : 
15 - 8 s 未 用 
7-05: XE 
第 0 位 是 寄存 器 最 低 有 效 位 。 


对 于 一 个 设备 ， 这 些 寄存 器 每 种 可 能 有 不 止 一 个 ， 确 切 的 数目 依赖 于 设备 的 种 类 。 例 如 ， 
一 个 特定 的 Motorola 并 行 接口 和 定时 器 设备 有 14 个 寄存 器 。 

中 断 使 设备 能 在 需要 服务 时 通知 处 理 器 ， 它 们 是 向 量化 的 。 当 中 断 发 生 时 ， 处 理 器 将 当 
前 程序 计数 器 (PC) 和 当前 处 理 器 状态 字 (PSW) 存储 到 系统 栈 中 。PSW 还 包含 了 处 理 器 的 
优先 级 (还 有 别 的 东西 )。 它 的 实际 格式 如 下 : 

位 


15 - 11 : 模式 信息 
10- 8 : 未 用 
7- 5 : 优先 级 
4- 0 : 条 件 码 


条 件 码 包含 了 处 理 器 最 后 操作 的 结果 信息 。 

新 的 PC 和 PSW 是 从 两 个 预先 分 配 的 连续 的 存储 位 置 (中 断 向 量 ) 加 载 的 。 第 一 个 字 包 含 
了 中 断 服务 例 程 的 地 址 ， 第 二 个 包含 了 PSW， 包 括 中 断 将 被 处 理 的 优先 级 。 一 个 低 优先 级 的 
中 断 处 理 程序 可 以 被 一 个 更 高 优先 级 的 中 断 打 断 。 

稍 后 会 再 回 到 这 个 IO 系统 的 例子 。 


15.2 语言 要 求 


如 上 所 述 ， 嵌 入 式 系统 的 一 个 主要 特征 就 是 需要 与 输入 输出 设备 交互 ， 这 些 设备 都 有 自 
己 具 体 的 特性 。 这 些 设备 的 编程 传统 上 是 汇编 程序 员 的 根据 地， 但 是 像 C、Modula_1、Java、 
occam2 和 Ada 等 语言 现在 也 尝试 对 这 些 低级 功能 提供 日 益 增多 的 高 级 机 制 。 这 使 得 设备 驱动 
程序 和 中 断 处 理 例 程 更 易于 阅读 、 编 写 和 维护 。 然 而 ， 主 要 的 难点 在 于 :为 了 方便 地 编写 可 
用 的 设备 处 理 程 序 ， 要 决定 在 高 级 语言 中 需要 哪些 功能 。 虽 然 这 个 主题 还 不 成 熟 ， 但 封装 设 
施 和 设备 处 理 的 抽象 模型 可 以 被 认为 是 特有 的 需求 。 
15.2.1 模块 性 和 封装 设施 | 

低级 设备 的 接口 必然 是 依赖 于 机 器 的 ， 因 此 通常 是 不 可 移植 的 。 

在 任何 软件 系统 中 ， 将 不 可 移植 的 代码 与 可 移植 的 代码 分 开 是 很 重要 的 。 只 要 可 能 ， 建 议 : 
将 所 有 依赖 机 器 的 代码 封装 到 一 个 可 明确 标识 出 来 的 单元 中 。 在 Modula-1 中 ， 与 设备 相关 的 代 


O 注意 近 些 年 有 产生 一 种 统一 驱动 程序 接口 (Uniform Driver Interface, UDI) 的 尝试 。 UDI 定 义 了 一 个 体系 
结构 和 一 组 操作 系统 中 立 (和 硬件 中 立 ) mien, 以 供 在 设备 驱动 程序 和 外 围 系统 之 闻 使 用 。 这 样 就 使 设 
备 虹 动 器 和 操作 系统 能 相互 独立 地 开发 ， 并 且 多 种 操作 系统 和 硬件 平台 可 以 使 用 相同 的 驱动 程序 。 
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码 必须 被 封装 到 一 个 被 称 为 设备 模块 的 专门 类 型 的 模块 中 。 在 Ada 中 ,使 用 了 包 和 保护 类 型 功 
能 。 在 Java 中 ， 类 和 人 包 是 合适 的 封装 机 制 。 在 occam2 中 ， 仅 有 的 设施 是 过 程 ; 在 C 中 是 文件 。 
15.2.2 设备 处 理 的 抽象 模型 
一 个 设备 可 以 被 认为 是 一 个 执行 固定 任务 的 处 理 器 。 因 而 ， 一 个 计算 机 系统 可 以 被 认为 
是 几 个 并 行 的 进程 。 设 备 “ 进 程 ”与 在 主 处 理 器 内 部 执行 的 进程 进行 通信 和 同步 的 模型 有 几 
种 。 所 有 的 模型 都 必须 提供 : 
1) 表示 、 寻 址 和 操纵 设备 寄存 器 的 设施 
设备 寄存 器 可 以 表示 为 程序 变量 、 对 象 、 甚 至 是 通信 通道 。 
2) 适当 的 中 断 表示 
可 能 有 以 下 表示 : 
a) 过 程 
中 断 被 看 作 是 过 程 调 用 (在 某 种 意义 上 ， 它 是 来 自 设备 进程 的 远程 过 程 调用 )。 
所 需 的 任何 通信 和 同步 必须 编写 到 中 断 处 理 过 程 中 。 这 种 过 程 不 幅 套 ”只 能 访问 全 
局 状态 或 处 理 程序 的 局 部 状态 。 
b) 偶发 进程 
中 断 被 看 作 是 执行 进程 的 请 求 。 处 理 程序 是 偶发 的 进程 ， 可 以 访问 局 部 持续 数 
据 和 全 局 数据 (如果 在 并 发 模型 中 可 用 共享 变量 通信 的 话 )。 
c) 异步 通知 | 
中 断 被 看 作 是 一 个 直接 发 向 进程 的 异步 通知 。 处 理 程序 可 以 访问 进程 的 局 部 状 
态 和 全 局 状态 。 恢 复 模型 和 终止 模型 都 是 可 以 的 。 
d) 共享 变量 条 件 同 步 
中 断 被 看 作 是 在 共享 变量 同步 机 制 下 的 条 件 同 步 ， 例 如 ， 在 管 程 中 信号 量 上 的 
发 信号 操作 或 在 条 件 变量 上 的 发 送 操作 。 处 理 程序 可 以 访问 进程 / 管 程 的 局 部 状态 和 
全 局 状态 。 
e) 基于 消息 的 同步 
中 断 被 看 作 是 发 送 到 通信 通道 的 无 内 容 的 消息 。 接 收 进程 可 以 访问 进程 的 局 部 
状态 。 
除了 过 程 方法 外 ， 以 上 所 有 的 方法 要 求 完 全 的 上 下 文 切换 ， 因 为 处 理 程序 在 进程 的 作用 
域内 执行 。 如 果 处 理 程序 是 受 限 制 的 ， 可 以 进行 优化 。 例 如 ， 如 果 在 异步 通知 模型 中 的 处 理 
程序 有 恢复 语义 ， 并 且 不 访问 进程 的 任何 局 部 数据 ， 那 么 中 断 就 可 以 仅 通过 局 部 的 上 下 文 切 
换 来 处 理 。 | 
并 不 是 所 有 这 些 模型 都 可 以 在 实时 语言 和 操作 系统 中 找到 。 最 流行 的 是 过 程 模型 ， 因 为 它 只 
需要 很 少 的 支持 。 通 常用 C 和 C++ 中 实现 的 实时 系统 采用 这 种 模型 ， 并 且 将 设备 寄存 器 表示 成 程 
序 变 量 。 对 于 顺序 系统 ， 异 步 事件 模型 实际 上 和 过 程 模型 相同 ， 因 为 只 有 一 个 进程 被 中 断 ， 因 而 
个 需要 识别 进程 或 事件 。Ada 模 型 是 过 程 模型 和 共享 变量 条 件 同步 模型 的 混合 体 。 中 断 被 映射 成 


保护 过 程 ， 寄 存 器 通过 程序 变量 访问 。 实 时 Java 认 为 中 断 是 异步 事件 ， 处 理 程序 是 可 调度 的 对 象 ， [586] 


Modula-1 和 实时 Euclid 分 别 将 中 断 映射 到 条 件 变 量 和 信号 量 ( 寄存 器 再 次 被 表示 为 程序 变量 )， 因 
而 是 纯粹 的 共享 变量 模型 。 occam2 认 为 中 断 是 发 送 到 通道 的 消息 ， 设备 寄存 器 也 被 表示 为 通道 。 
以 下 详细 研究 五 种 语言 : Modula-1、 Ada、 实 时 Java、occam2 和 C。: ^ 


CA 
CA 








ws 
- 
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15.3 Modula-1 


Modula-1 是 最 先 具 有 设备 驱动 程序 编程 功能 的 高 级 编程 语言 之 一 。 

在 Modula-1 中 ， 模 块 化 和 封装 的 单位 是 模块 。 有 一 种 称 为 接口 模块 的 专门 模块 用 于 控制 
对 共享 资源 的 访问 ， 它 具有 管 程 的 特性 。 进 程 通过 信号 (条件 变量 ) 进行 交互 ， 使 用 WAIT、 
SEND 和 AWAITED (参看 第 8 章 ) 操作 符 。 第 三 种 模块 称 为 设备 模块 ， 是 一 种 专门 类 型 的 接口 
模块 ， 用 于 封装 与 设备 的 交互 。 仅 在 设备 模块 里 面 可 以 使 用 用 于 处 理 中 断 的 设施 。 
15.3.1 设备 寄存 器 的 寻 址 和 操纵 

将 变量 与 寄存 器 关联 起 来 是 相当 简单 的 。 在 Modula-1 中 ， 在 声明 中 用 名 字 后 面 跟 着 的 一 
个 八进制 的 地 址 表示 。 例 如 ， 对 于 在 15.1.4 节 中 介绍 的 简单 1O 体 系 结构 的 数据 缓冲 区 寄存 器 
就 可 定义 成 : 

var rdbr[177562B] char; 
这 里 ，177562B 表 示 一 个 八进制 的 地 址 ， 它 就 是 寄存 器 在 存储 器 中 的 位 置 。 

字符 到 字符 缓冲 区 寄存 器 的 映射 也 是 一 件 简单 的 事 ， 因 为 这 种 类 型 没有 内 部 结构 。 控 制 
和 状态 寄存 器 就 更 有 趣 了 。 在 Modula-1 中 ， 只 有 标量 数据 类 型 可 以 被 映射 到 设备 寄存 器 ， 因 
此 有 内 部 结构 的 寄存 器 被 认为 是 预先 定义 的 bits 类 型 ， 它 的 定义 是 : 

TYPE BITS = ARRAY 0:no ,of bits in word OF BOOLEAN; 
这 种 类 型 的 变量 被 打包 为 一 个 单独 的 字 。 所 以 在 八进制 地 址 177560B 的 控制 和 状态 寄存 器 可 
以 使 用 下 面 的 Modula-1 代 码 定义 : 


VAR rcsr[177560B] : BITS; 

为 了 访问 寄存 器 中 的 各 种 字段 ， 程 序 员 提 供 了 数组 的 序 标 。 例 如 ， 以 下 的 代码 将 启用 设备 : 
rcsr[0] :=TRUE; 

下 面 的 代码 将 关闭 中 断 : 
resr[6] := FALSE; 


通常 ， 这 些 设施 在 能 力 上 不 足以 方便 地 处 理 所 有 类 型 的 寄存 器 。 通用 的 控制 和 状态 寄存 器 的 
结构 前 面 已 给 出 : 


位 
15 - 12 : 出 错 
11 : it 
10-8 : 单元 选择 
7 : “做 完 / 就 绪 
6 : “允许 中 断 
5-3 : 保留 
2-1 : 设备 函数 
0 设备 允许 操作 


全 用 布尔 刘坚 元 (位 8 10) RIN ok 名 如 用 以 下 语 甸 将 设备 单元 设 
置 为 值 5。 

rcsr[10] := TRUE; 

rcsr[9] := FALSE; 

rcsr[8] := TRUE; 
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值得 注意 的 是 ， 在 很 多 机 器 上 有 不 止 一 个 设备 寄存 器 映射 到 相同 的 物理 地 址 。 因 此 ， 几 
个 变量 可 以 被 映射 到 存储 器 中 的 相同 位 置 。 此 外 ， 这 些 寄存 器 经 常 是 只 读 或 只 写 的 。 因 此 ， 
操纵 设备 寄存 器 时 必须 小 心 。 在 上 面 的 例子 中 ， 如 果 控 制 和 状态 寄存 器 是 一 对 映射 到 相同 位 
置 的 寄存 器 ， 那 么 给 出 的 代码 可 能 达 不 到 预期 的 效果 。 这 是 因为 设置 特定 的 位 需要 产生 将 当 
前 的 值 读 入 到 机 器 累加 器 的 代码 。 因 为 控制 寄存 器 是 只 写 的 ， 这 会 产生 状态 寄存 器 的 值 。 因 
此 ， 建 议 在 程序 中 用 其 他 的 变量 表示 设备 寄存 器 。 这 些 可 以 用 正规 的 方法 进行 操纵 。 当 要 求 
的 寄存 器 的 格式 已 经 构建 好 的 时 候 ， 就 可 以 分 配给 实际 的 设备 寄存 器 了 。 这 些 变量 通常 被 称 
为 影子 设备 寄存 器 (shadow device register). 
15.3.2 中 断 处 理 

Modula-1 中 处 理 中 断 的 设施 是 基于 理想 硬件 设备 的 观念 。 这 个 设备 必须 具有 以 下 属性 
(Wirth, 1997a): 

“对 于 每 项 设备 操作 ， 产 生 多 少 中 断 是 已 知 的 。 

*。 当 中 断 发 生 后 ， 设 备 的 状态 指明 是 否 将 要 发 生 另 一 个 相关 的 中 断 。 

* 没 有 意料 外 的 中 断 到 达 。 

* 每 一 个 设备 都 有 惟一 的 中 断 位 置 。 
Modula-1 提 供 的 设施 可 以 总 结 为 如 下 几 点 : 

* 每 个 设备 有 一 个 相关 的 设备 模块 。 

* 每 个 设备 模块 在 紧 跟 模块 名 字 后 面 的 首部 规定 了 一 个 硬件 优先 级 。 

"模块 内 所 有 的 代码 都 在 指定 的 硬件 优先 级 上 执行 。 

* 设备 模块 内 每 个 要 处 理 的 中 断 都 需要 一 个 称 为 设备 进程 的 进程 。 

* 当 设备 进程 执行 时 ， 它 独占 地 访问 这 个 模块 (就 是 说 ， 它 使 用 在 设备 模块 首部 指定 的 高 

限 优 先 级 拥有 管 程 锁 ) 。 

* 不 允许 设备 进程 调用 任何 非 局 部 的 过 程 ， 也 不 能 发 送信 号 到 其 他 设备 进程 。 这 是 为 了 确 

保 设备 进程 不 会 被 无 意 地 阻塞 。 

* 当 设 备 进程 发 送信 号 时 ， 发 送 操作 的 语义 不 同 于 那些 普通 的 Modula-1 进 程 ， 在 这 种 情况 

下 ,接收 进程 是 不 恢复 的 ， 但 是 发 信号 的 进程 要 继续 。 这 又 是 为 了 确保 进程 不 会 被 阻塞 。 

* 在 设备 进程 中 的 WAIT 语 句 是 惟一 的 “一 号 ”( 最 高 级 )。 

* 中断 被 看 作 是 信号 的 一 种 形式 ， 然 而 设备 进程 不 是 发 布 WAIT 请 求 ， 而 是 发 布 DboIO 请 求 。 

* 在 进程 首部 中 规定 了 用 以 进行 设备 中 断 的 向 量 的 地 址 。 

。 只 有 设备 进程 可 以 含有 DOIO 语 句 。 

*DOIO 和 WAIT 调 用 降低 处 理 器 的 优先 级 ， 因 此 释放 管 程 锁 。 

* 一 个 设备 进程 只 有 一 个 实例 可 被 激活 。 

例如 ， 考 虑 一 个 在 15.1.4 节 中 概述 的 简单 机 器 体系 结构 处 理 实时 时 钟 的 设备 模块 。 当 收 到 
中 断 时 ， 处 理 程序 发 送信 号 到 等 待 时 钟 滴 答 的 那个 进程 。 

DEVICE MODULE rtc[6]; (* 硬件 优先 级 6 *) 


DEFINE tick; 
VAR tick : SIGNAL; 


PROCESS clock[100B]; 
VAR csr[177546B] : BITS; 


ioi 








H 
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BEGIN 
csr[0] := TRUE; (* RFEA *) 
csr{6] := TRUE; (* 允许 中 断 *) 
LOOP 

DOIO; 
WHILE AWAITED(tick) DO 
SEND(tick); 


END 


BEGIN 
clock; (* 创建 clock 进 程 的 一 个 实例 *) 

END rtc; 

设备 模块 的 首部 指定 了 中 汤 优先 级 为 6， 模 块 内 所 有 的 代码 都 在 这 个 优先 级 执行 。 进 程 首 
部 上 的 100B 这 个 值 指明 设备 将 通过 在 地 址 (八进制) 100 的 向 量 中 断 。 允 许 中 断后 ， 设备 进 
程 进 入 等 待 中 断 的 简单 循环 (DOIO) 然后 发 送 足 够 的 信号 (就 是 说 ， 每 个 等 待 进程 一 个 )。 
注意 当 设备 进程 发 送信 号 时 ， 它 并 不 放弃 对 模块 的 互 斥 访问 ， 而 是 一 直 继续 ， 直 到 执行 了 一 
条 WAIT 或 DOIO 语 句 。 

以 下 说 明 Modula-1 是 怎样 处 理 在 15.1.2 和 15.1.3 节 中 概述 的 中 断 驱 动 设备 的 一 般 特征 的 。 

* 设备 控制 一 -LO 寄存 器 由 变量 表示 。 

。* 上 下 文 切 换 一 一 中 断 引起 到 中 断 处 理 进 程 的 立即 上 下 文 切换 ， 该 进程 使 用 DOIO 等 待 。 

* 中断 设 备 标识 一 一 中 断 向 量 的 地 址 与 设备 进程 首部 一 起 给 出 。 

* 中 断 标识 一 一 在 上 述 的 例子 中 ， 只 可 能 有 一 个 中 断 。 然 而 ， 在 其 他 的 情况 下 ， 应 该 检测 

设备 状态 寄存 器 以 确定 中 上 断 的 原因 。 

。 中断 控 制 一 -中断 控 制 是 状态 驱动 的 ， 并 且 是 通过 设备 寄存 器 中 的 标记 提供 的 。 

* 优先 级 控制 一 -设备 的 优先 级 在 设备 模块 首部 给 出 。 模块 中 的 所 有 代码 在 这 个 优先 级 运 

fr (就 是 说 ， 设 备 模块 有 硬件 高 限 优先 级 ， 并 以 立即 优先 级 高 限 协议 执行 ( 见 13.11 节 ) )。 
15.3.3 一 个 终端 驱动 程序 的 例子 


为 了 更 进一步 举例 说 明 Modular1 设 备 驱动 的 方法 ， 介 绍 一 个 简单 的 终端 设备 模块 。 这 个 
终端 有 两 个 部 件 : 一 个 显示 器 和 一 个 键盘 。 每 个 部 件 有 一 个 相关 的 控制 和 状态 寄存 器 、 一 个 
缓冲 区 寄存 器 和 一 个 中 断 。 

在 程序 中 提供 了 两 个 过 程 ， 使 程序 的 其 他 进程 能 读 写字 符 。 这 些 过 程 访问 一 个 有 界 缓冲 
区 ， 它 使 输入 的 字符 能 在 此 缓冲 并 输出 。 这 些 缓冲 区 必须 包含 在 设备 模块 中 ， 因 为 设备 进程 
不 能 调用 非 局 部 的 过 程 。 虽 然 对 显示 器 和 键盘 已 经 使 用 了 单独 的 模块 ， 但 是 它们 还 是 被 组 合 
起 来 说 明 一 个 设备 模块 可 以 处 理 不 止 一 个 中 断 。 


DEVICE MODULE terminal[4]; 








DEFINE readch, writech; 


CONST n=64; (* 缓冲 区 大 小 *) 


VAR KBS[177560B] : BITS; (* 键盘 状态 *) 
KBB[177562B] : CHAR; (* 键盘 缓冲 区 *) 
DPS[177564B] : BITS; (* 显示 器 状态 *) 
DPB[177566B] : CHAR; (* 显示 器 缓冲 区 *) 
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inl, in2, outl, out2 : INTEGER; 
nl, n2 : INTEGER; 

nonfulll, nonfull2, 

nonemptyl, nonempty2 : SIGNAL; 
bufl, buf2 : ARRAY l:n OF CHAR; 


PROCEDURE readch(VAR ch: CHAR); 
BEGIN 
IF nl = 0 THEN WAIT (nonemptyl) END; 
ch := bufl[outl]; 
outl := (outl MOD n)-*1; 
DEC(n1l); 
SEND(nonfulll) 
END readch; 


PROCEDURE writech(ch : CHAR); 
BEGIN 
IF n2 - n THEN WAIT(nonfull2) END; 
buf2[in2] := ch; 
in2 := (in2 MOD n)+1; 
INC (n2); 
SEND(nonempty2) 
END writech; 


PROCESS keyboarddriver[60B]; 
BEGIN 
KBS[0] := TRUE; (* 人 允许 设备 操作 *) 
LOOP 
IF nl = n THEN WAIT(nonfulll) END; 
KBS [6] := TRUE; 


DOIO; 
KBS [6] := FALSE; 
bufl[inl] :- KBB; 
inl := (inl MOD n)*1; 
INC(n1); 
SEND(nonemptyl) 

END 


END keyboarddriver; 


PROCESS displaydriver[64B]; 
BEGIN 
DPS[0] ;= TRUE; 《* 人 允许 设备 操作 *) 
LOOP 
IF n2 = 0 THEN WAIT(nonempty2) END; 
DPB := buf2[out2]; 
out2 := (out2 MOD n)+1; 


DPS [6] := TRUE; 
DOIO; 

DPS [6] := FALSE; 
DEC(n2); 


SEND(nonfull2) 
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END 
END displaydriver; 


BEGIN 
inl :=1; in2 := 1; 
outl := 1; out2 :=1; 
nl :=0; n2 := 0; 
keyboarddriver; 
displaydriver 

END terminal; 


1. 时 间 性 设施 

Modula-1 不 提供 操纵 时 间 的 直接 设施 ， 这 些 必须 由 应 用 程序 提供 。 这 需要 一 个 设备 模块 
处 理 时 钟 中 断 并 定期 (例如 ， 每 秒 ) 发 布 一 个 信号 。 现 在 给 出 这 个 模块 ， 它 是 先前 定义 的 模 
块 的 一 个 修改 版 本 。 假 定 硬件 时 钟 每 五 十 分 之 一 秒 滴答 一 下 。 


DEVICE MODULE hardwareclock[6]; 
DEFINE tick; 
VAR tick : SIGNAL; 


PROCESS handler[100B]; 
VAR count : INTEGER; 
Statusreg [ 177546B] : BITS; 


BEGIN 
count := 0; 
Statusreg[0] :- TRUE; 
Statusreg[6] :- TRUE; 
LOOP 
DOIO; 
count := (count+1) MOD 50; 


IF count - 0 THEN 
WHILE AWAITED (tick) DO 
SEND(tick) 
END 
END 
END 
END handler; 
BEGIN 
handier 
END hardwareclock; 


现在 可 以 很 容易 地 提供 一 个 维持 一 天 时 间 的 接口 模块 。 
INTERFACE MODULE SystemClock; 

(* 定义 获取 和 设置 一 天 的 时 间 的 过 程 *) 

DEFINE GetTime, SetTime; 

(* 导入 抽象 数据 类 型 time 和 tick 信 号 *) 


USE time, initialise, add, tick; 
VAR TimeOfDay, onesec : time; 


PROCEDURE SetTime(t: time); 
BEGIN 
TimeOfDay := t 
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END SetTime; 


PROCEDURE GetTime(VAR t: time); 
BEGIN 

t :- TimeOfDay 
END GetTime; 


PROCESS clock; 
BEGIN 
LOOP 
WAIT(tick); 
addtime(TimeOfDay, onesec) 
END 
END clock; 
BEGIN 
inittime(TimeOfDay, 0, 0, 0); 
inittime(onesec, 0, 0, 1); 
clock; 
END SystemCiock; 


注意 时 钟 进程 逻辑 上 是 多 余 的 。 设 备 进程 可 以 直接 增加 TimeofDay， 从 而 节省 上 下 文 切 
换 。 然 而 ， 在 Modula-1 中 不 允许 设备 进程 调用 非 局 部 过 程 。 

2. 延迟 进程 

在 实时 系统 中 ， 经 常 需要 延迟 进程 一 段 时 间 (参看 12 章 )。 虽 然 Modula-1 没 有 直接 实现 这 


”一 点 的 设施 ， 但 可 以 编程 实现 。 这 留 给 读者 作为 练习 (参看 练习 15.6)。 


15.3.4 Modula-1 设 备 驱动 方法 的 问题 
Modula-1 被 设计 成 用 于 攻击 汇编 语言 编程 的 根据 地 一 一 设备 接口 。 总 体 上 ， 它 被 认为 是 
很 成 功 的， 然而 ， 还 是 有 一 些 针对 它 的 功能 的 批评 。 
* Modula-1 不 允许 设备 进程 调用 非 局 部 过 程 ， 因 为 设备 进程 必须 尽 可 能 地 保持 小 ， 并 且 必 
须 在 设备 的 硬件 优先 级 上 执行 。 调 用 定义 在 其 他 模块 中 的 过 程 ， 而 其 实现 又 向 进程 隐藏 ， 
这 可 能 会 导致 无 法 接受 的 延迟 。Modula-1 又 进一步 要 求 这 些 过 程 在 设备 的 优先 级 执行 。 
遗憾 的 是 ， 由 于 这 种 限制 ， 程 序 员 要 么 必须 将 那些 不 是 直接 与 驱动 设备 有 关 的 额外 的 功 
能 合并 到 设备 模块 中 〈 如 在 终端 驱动 程序 的 例子 中 ， 有 界 缓冲 区 被 包含 在 设备 模块 中 ), 
要 么 不 得 不 引入 额外 的 进程 等 待 设备 进程 发 送信 号 。 在 前 一 种 情况 下 ， 这 会 导致 设备 模 
块 非常 大 ， 而 对 后 者 ， 是 不 必要 的 低 效 。 
“Modula-1 只 允许 设备 进程 的 一 个 实例 ， 因 为 进程 首部 含有 将 进程 与 中 断 关联 起 来 必需 的 
信息 。 这 使 得 在 相似 设备 间 共 享 代码 更 加 困难 ， 这 个 问题 又 由 于 不 能 调用 非 局 部 过 程 而 
更 难 。 
* Modula-1 是 为 存储 - 映射 式 计算 机 设计 的 ， 因 此 ， 很 难 对 由 专门 指令 控制 的 可 编程 设备 
使 用 它 的 设施 。 然 而 ， 容 易 设 想 一 个 简单 的 扩展 去 解决 这 个 问题 。Young (1982) 建议 
使 用 下 列 记号 的 可 能 性 : 
VAR x AT PORT 46B : INTEGER; 
当 端口 被 编 址 时 编译 器 就 可 以 把 这 种 端口 识别 出 来 ， 并 可 以 产生 正确 的 指令 。 
* 前面 已 经 指出 许多 设备 寄存 器 是 只 读 或 只 写 的 。 在 Modula-1 中 不 可 能 定义 只 读 或 只 写 的 
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变量 。 此 外 ， 这 里 有 一 个 隐 含 的 假设 ， 即 编译 器 将 不 优化 对 设备 寄存 器 的 访问 ， 并 在 局 
部 寄存 器 中 高 速 缓存 它们 。 


15.4 Ada 
在 Ada 中 ， 任 务 间 相 互 同步 和 通信 有 三 种 方法 : 


。 通 过 会 合 ; 

。 使 用 保护 单元 ; 

“通过 共享 变量 。 

通常 ，Ada 假 设 设备 和 程序 能 够 访问 共享 存储 设备 寄存 器 ， 这 些 寄存 器 可 用 其 表示 规格 说 
明 技术 规定 。 在 Ada 83 中 ， 中 断 通 过 硬件 产生 的 任务 人 口 调用 表示 。 在 Ada 当 前 的 版 本 中 ， 这 
项 功能 被 认为 是 过 时 的 ， 并 且 可 能 从 该 语言 的 下 一 个 版 本 中 删除 。 因 此 在 这 本 书 中 不 做 讨论 。 

设备 驱动 的 首选 方法 是 在 保护 单元 中 封装 设备 操作 。 可 以 由 保护 过 程 调用 处 理 中 断 。 
15.4.4 设备 寄存 器 的 寻 址 和 操作 

Ada 向 程序 员 展 示 了 规定 数据 类 型 的 实现 的 一 组 全 面 设施 。 这 些 统称 为 表示 子 句 ， 它 们 ] 指 
出 语言 的 类 型 怎样 被 映射 到 底层 硬件 。 一 种 类 型 只 能 有 一 个 表示 。 表 示 是 和 类 型 的 逻辑 结构 
分 开 指 定 的 。 当 然 ， 类 型 表示 的 规格 说 明 是 可 选 的 ， 也 可 以 委托 给 编译 器 。 

表示 子 句 是 抽象 和 具体 结构 之 间 的 折 中 。 有 四 种 不 同 的 规格 说 明 : 

1) 属性 定义 子 句 ~ 一 允许 设置 对 象 、 任 务 或 子 程序 的 各 种 属性 ， 例 如 ， 对 象 的 大 小 ( 按 
位 )、 存 储 对 齐 、 任 务 的 最 大 存储 空间 、 对 象 的 地 址 。 

2) 枚 举 表 示 子 名 一 一 给 枚 举 类 型 的 字面 值 以 具体 的 内 部 值 。 

3) 记录 表示 子 名 -一 记录 成 分 可 以 在 单个 的 存储 单元 内 部 被 分 配 偏 移 和 长 度 。 

4) At 子 名 一 这 是 Ada 83 安 置 对 象 到 特定 地 址 的 主要 机 制 ， 这 项 功能 现在 已 经 过 时 了 
(可 以 使 用 属性 )， 因 此 将 不 再 进一步 讨论 。 

如 果 一 个 实现 不 能 服从 规格 说 明 的 要 求 ， 那 么 编译 器 要 么 拒绝 程序 ， 要 么 在 运行 时 引发 
异常 。 
为 了 举例 说 明 这 些 机 制 的 使 用 ， 考 虑 以 下 的 类 型 声明 ， 它 们 表示 了 前 面 定义 的 简单 机 器 
的 典型 控制 和 状态 寄存 器 。 


type Error T is (None, Read_Error, Write_Error, 
Power Fail, Other); 

type Function T is (Read, Write, Seek); 

type Unit T is new Integer range 0..7; 


type Csr T is record 


Errors : Error T; 
Busy : Boolean; 

` Unit : Unit T; 
Done : Boolean; 
Ienable : Boolean; 
Dfun : Function T; 
Denable : Boolean; 


end record; 
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可 以 是 : 
01 -- READ 
10 -- WRITE 
11 -- SEEK 
在 Ada 中 这 被 指定 为 : 
type Function T is (Read, Write, Seek); ^ 


for Function T use (Read=>1, Write=>2, Seek=>3); 


类 似 地 ， 对 于 Error t: 


type Error_T is (None, Read_Error, Write_Error, Power_Fail, 


for Error T use (None =>0, Read Error =>1, Write Error =>2, 


Power Fail =>3, Other =>4); 


-- 注意 ， 这 实际 上 是 默认 赋值 


Other); 


记录 表示 地 名 指定 记录 的 存储 表示 ， 即 它 的 成 分 的 次 序 、 位 置 和 大 小 。 记 录 的 位 从 0 开始 


计算 ， 在 成 分 子 句 中 的 范围 规定 分 配 的 位 数 。 
例如 ， 控 制 状态 寄存 器 为 : 


Word : constant :=2; -- 一 个 字 中 存储 单元 的 个 数 
Bits In Word : constant :-16; -- 字 中 的 二 进 制 位 数 
for Csr_T use 
record 

Denable at 0*Word range 0..0; -- 在 第 0 字 的 第 0 位 

Dfun at 0*Word range 1..2; 

Tenable at O*Word range 6..6; 

Done at O*Word range 7..7; 

Unit at O0*Word range 8..10; 

Busy at 0*Word range 11..11; 


Errors at 0*Word range 12..15; 
end record; 


for Csr T' Size use Bits In Word; -- Csr 类 型 对 象 的 大 小 
for Csr T' Alignment use Word; -- 对 象 应 当 字 对 齐 

for Csr T' Bit order use Low Order First; 

-- 首位 是 字 节 的 最 低 有 效 位 


大 小 属性 (Size) 规定 与 一 个 类 型 关联 的 存储 量 。 在 这 个 例子 中 ， 


寄存 器 是 一 个 单独 的 


16 位 字 。 对 齐 (Assignment) 属性 指示 编译 器 应 当 总 是 将 对 象 放 在 整数 存储 单元 边界 上 ， 
在 这 里 是 字 的 边界 。 位 序 (Bit_order) 属性 指定 机 器 将 0 位 作为 最 高 有 效 位 (大 尾数 ) 或 
最 低 有 效 位 (小 尾数 )。 注 意 ,第 3、4 和 5 位 (被 保留 为 以 后 使 用 ) 没有 被 指定 。 

最 后 ， 需 要 声明 一 个 实际 的 寄存 器 ， 并 把 它 放 在 所 要 求 的 存储 器 位 置 上 。 在 Ada 中 ， 
Rddress 是 在 包 System 中 定义 的 实现 定义 的 类 型 。 子 包 (System.Storage Elements. 


并 了 将 可 型 变 量 转换 为 地 址 类 型 的 功能 ， 


Tesr : Csr T; 
for Tcsr' 


Address use System. Storage Elements.To _ Address (851775664); 


构建 了 寄存 器 的 抽象 数据 表示 ， 并 在 正确 的 地 址 放置 一 一 个 适当 定义 的 变量 之 后 ， 就 可 以 


通过 对 这 些 变量 赋值 操纵 硬件 寄存 器 了 : 


UA 
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Tesr := (Denable => True, Dfun => Read, 
Ienable => True, Done => False, 
Unit => 4, Errors => None); 


fi FI A ioco A SBE BR ie ME 25 ae TR Duns AERA RZ AE 
设置 ， 必 须 使 用 一 个 临时 (影子 ) 控制 寄存 器 : 

Temp Cr : Csr T; 
这 个 临时 寄存 器 被 赋 为 控制 值 并 拷贝 到 实际 的 寄存 器 变量 : 

Tcsr := Temp Cr; 
这 个 赋值 代码 在 大 多 数 情况 下 都 确保 整个 控制 寄存 器 由 一 个 单独 的 动作 更 新 。 如 果 还 存在 疑 
问 ， 可 以 使 用 编 用 Atomic ( 它 指示 编译 器 作为 一 个 简单 操作 产生 这 个 更 新 或 者 产生 一 个 出 错 
信息 )。 : 
IO 操作 完成 后 ， 设 备 自身 可 以 改变 寄存 器 的 值 ， 这 在 程序 中 被 看 作 是 记录 成 分 的 值 的 改变 : 

if Tcsr.Errors = Read Error then 

raise Disk Error; 

end if; 
因此 ， 对 象 Tcsr 是 一 个 共享 变量 的 集合 ， 它 被 设备 控制 任务 和 设备 自身 共享 。 两 个 并 发 (和 
并 行 ) 的 进程 间 的 互 斥 对 于 提供 可 靠 性 和 性 能 是 必需 的 。 这 一 点 在 Ada 中 是 通过 使 用 保护 对 象 
实现 的 。 
15.4.2 中 断 处 理 

Ada 定 义 了 以 下 的 中 断 模型 : 

* 中断 表示 由 硬件 或 系统 软件 检测 到 的 一 类 事件 。 

* 中断 的 出 现 由 它 的 生成 和 交付 组 成 。 

* 中 断 的 生成 是 在 底层 硬件 或 系统 中 使 得 中 断 对 于 程序 成 为 可 用 的 事件 。 

* 交付 是 响应 中 断 发 生 而 调用 一 段 程序 〈 称 之 为 中 断 处 理 程序 ) 的 动作 。 在 中 断 生成 和 交 

付 之 间 ， 称 为 中 断 被 悬挂 (pending)。 对 中 断 的 每 次 交付 ， 都 要 调用 处 理 程序 一 次 。 中 

断 的 潜伏 期 (latency). 是 指 在 悬挂 状态 消耗 的 时 间 。 

* 当中 断 被 处 理 时 ， 从 同一 个 源 来 的 其 他 中 断 被 阻塞 ; 防止 交付 所 有 未 来 发 生 的 中 断 。 被 

阻塞 的 中 断 是 否 保持 臣 挂 或 丢弃 通常 是 依赖 于 设备 的 。 

“" 某 些 中 断 是 被 预 留 (reserved). 的 。 不 允许 程序 员 对 预 留 的 中 断 提供 处 理 程序 。 通 常 ， 

预 留 中 断 直接 由 Ada 的 运行 时 支持 系统 处 理 ( 例 如 ， 用 于 实现 延 时 语句 的 时 钟 中 断 )。 

“每 个 非 预 留 中 断 有 一 个 由 运行 时 支持 系统 指派 的 默认 处 理 程序 。 

使 用 保护 过 程 处 理 中 断 

在 Ada 中 ， 中 断 处 理 程序 的 主要 表示 是 一 个 无 参 保护 过 程 。 每 个 中 断 有 -个 由 系统 支持 的 
惟一 的 显然 有 别 的 标识 符 。 这 个 惟一 标识 符 如 何 表示 是 由 实现 定义 的 ， 例 如 ， 它 可 能 是 与 中 
断 相关 的 硬件 中 断 向 量 的 地 址 。 当 Ada 在 一 个 支持 信号 的 操作 系统 上 实现 时 ， 每 个 信号 可 能 被 
映射 到 特定 的 中 断 标 识 符 ， 因 而 使 信号 处 理 程序 能 用 Ada 编 程 。 

标识 中 断 处 理 保护 过 程 是 通过 使 用 两 个 编 用 之 一 实现 的 : 

pragma Attach_Handler(Handler Name, Expression); 


=- 这 可 以 出 现在 一 个 库 级 保护 对 象 的 规格 说 明 或 体 中 ， 并 多 许 将 
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-- — A Bf ZO Abe Be FT FH BC UERBO PUER S ESR ; 

-- 在 创建 这 个 保护 对 象 时 ， 该 处 理 程 序 就 附加 上 了 。 

-- 在 下 列 情况 引发 Program_Error: 

-- (a) 当 保 护 对 象 被 创建 ， 而 该 中 断 被 预 留 的 时 候 ; 

-~ (b) 如 果 该 中 断 已 经 有 了 一 个 用 户 定义 的 处 理 程序 ; 

-- (c) 如 果 定 义 的 高 限 优先 级 不 在 Ada .Interrupt_Priority 的 范围 之 内 。 


pragma Interrupt Handler(Handler Name); 
-- 这 可 以 出 现在 一 个 库 级 保护 对 象 的 规格 说 明 中 ， 并 允许 将 
-- 一 个 已 命名 的 无 参 过 程 同 一 个 或 多 个 中 断 的 中 断 处 理 程序 
-- 动态 关联 起 来 。 从 这 样 一 个 保护 类 型 创建 的 对 象 必 须 是 库 级 的 。 
程序 15-1 定 义 了 系统 编程 附件 对 中 断 标识 符 和 处 理 程 序 的 动态 附加 的 支持 。 在 引发 
Program_Error 的 所 有 情形 中 ， 当 前 附加 的 处 理 程序 没有 被 改变 。 


程序 15-1 包 Ada.interrupts 





package Ada.Interrupts is 
type Interrupt Id is 实现 定义 的 ; -~ 必须 是 离散 类 型 
type Parameterless Handler is access protected procedure; 


function Is Reserved(Interrupt : Interrupt Id) return Boolean; 
-- 如 果 中 断 是 预 留 的 ， 返 回 True， 
-- 否则 返回 False 
function Is Attached(Interrupt : Interrupt Id) return Boolean; 
-- 如 果 中 断 是 附加 于 一 个 处 理 程序 的 ， 返 回 True， | 
-- 否则 返回 False 
-- 如 果 中 断 是 预 留 的 ， 引 发 Program_Error . 
function Current Handler (Interrupt : Interrupt Id) 
return Parameterless Handler; 
-- 返回 指向 该 中 断 的 当前 处 理 程序 的 一 个 访问 变量 。 
-- 如 果 没 有 附加 用 户 处 理 程序 ， 返 回 一 个 表示 默认 处 理 程序 的 值 。 
-- 如 果 中 断 是 预 留 的 ， 引 发 Program_Erroz 
procedure Attach Handler(New Handler : Parameterless Handler; 
Interrupt : Interrupt Id); 
-- 将 当前 处 理 程序 赋值 为 New_Handler 
-- 如 果 New Handler 是 null， 则 默认 处 理 程序 被 恢复 。 
-- 在 下 列 情况 引发 Program Error: 
-- (a) 如 果 同 New_Handler 关联 的 保护 对 象 未 被 标识 有 
-- pragma Interrupt Handler, 
-- (b) 如 果 中 断 是 预 留 的 ， 
-- (c) 如 果 当前 处 理 程序 是 用 pragma Attach_Handler 静 态 附 加 的 。 
procedure Exchange Handler( 
Old Handler : out Parameterless Handler; 
New Handler : Parameterless Handler; 
Interrupt : Interrupt Id); 
-- 将 中 断 的 当前 处 理 程序 赋值 为 New_Handler , 
-~ 并 返回 01Q_Handler 的 前 一 处 理 程序 
-- 如 果 New Handler 是 nu11l， 则 默认 处 理 程序 被 恢复 。 
-- 在 下 列 情况 引发 Program Error: 
-- (a) 如 果 同 New_Handler 关联 的 保护 对 象 未 被 标识 有 


-- pragma Interrupt Handler, 
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-- (b) 如 果 中 断 是 预 留 的 ， 
-- (c) 如 果 当 前 处 理 程序 是 用 pragma Attach_Handler 静 态 附 加 的 。 
procedure Detach Handler(Interrupt : Interrupt Id); 
-- 恢复 指定 中 断 的 默认 处 理 程 序 。 
-- 在 下 列 情 况 引 发 Program Error: 
-- (a) 如 果 中 上 断 是 预 留 的 ， 
-- (b) 如 果 当 前 处 理 程序 是 用 pragma &Attach_Handler 静 态 附加 的 。 
function Reference(Interrupt : Interrupt_Id) 
return System.Address; 
-- 返回 一 个 address (地 址 )， 它 可 被 用 于 通过 一 个 人 口上 的 地 址 子 句 
~- 将 一 个 任务 入口 附加 于 一 个 中 断 上 。 
-- 如 果 该 中 断 不 能 以 此 方式 附加 ， 引 发 Program_Error . 
private 
。 ~- 不 由 语言 规定 
end Ada.Interrupts; : 
一 一 
应 当 注 意 ，Reference 函 数 提供 了 支持 中 断 任务 入 口 的 机 制 。 正 如 前 面 所 提 到 的 ， 这 种 
中 断 处 理 的 模型 被 认为 是 过 时 的 因而 不 应 该 再 使 用 。 
程序 15-2 表 明 ， 实 现 也 能 使 中 断 与 名 字 关 联 。 这 在 以 下 的 例子 中 将 会 用 到 。 


程序 15-2 Ada.Interrupts.Names 
一 M LLL 


package Ada.Interrupts.Names is 
实现 定义 的 : constant Interrupt Id : 


实现 定义 的 ; 


实现 定义 的 : constant Interrupt Id := 实现 定义 的 ; 
private 
eo 不 由 语言 规定 


end Ada.Interrupts.Names; 


eee 
15.4.3 一 个 简单 的 驱动 程序 的 例子 

一 类 常见 的 附属 到 嵌入 式 计算 机 系统 中 的 设备 是 模拟 数字 转换 器 (ADC)。 转 换 器 对 一 
些 环境 要 素 (比如 温度 或 压力 ) 进行 采样 ， 它 将 收 到 的 测量 值 转换 ， 测 量 值 通常 是 毫 伏 ， 然 
后 提供 标 度 的 整 型 值 给 硬件 寄存 器 。 考 虑 一 个 单独 的 转换 器 ， 它 在 硬件 地 址 8#150000# 有 - 
个 16 位 的 结果 寄存 器 ， 在 8#150002# 有 一 个 控制 寄存 器 。 计 算 机 是 16 位 的 机 器 ， 控 制 寄存 器 


结构 如 下 : 
位 LE 含义 
0 A/D aa} 置 1 局 动 转换 
6 中 断 允 许 / 禁 止 置 1 允许 中 断 . 
7 做 完 转换 完成 时 置 1 
8-13 通道 转换 器 有 64 个 模拟 输入 ， 所 需 的 具体 通道 由 通道 值 指出 
15 出 错 若 设备 功能 出 错 ， 由 转换 器 置 1 


这 个 ADC 的 驱动 程序 将 被 构造 为 一 个 包 里 面 的 保护 类 型 ， 所 以 它 产生 的 中 断 可 以 被 作为 
一 个 保护 过 程 调用 处 理 ， 因 而 可 以 提供 给 多 个 ADC: | 
package Adc Device Driver is 
Max Measure : constant := (2**16)-1; 
type Channel is range 0..63; 
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subtype Measurement is Integer range 0..Max Measure; 
procedure Read(Ch: Channel; M : out Measurement); 
-~ 可 能 阻塞 r 


Conversion_Error : exception; 


private 
for Channel' Size use 6; 
-- 指出 只 能 用 6 个 位 


end Adc Device Driver; 

对 任何 请 求 ， 驱 动 程序 在 引发 异常 前 尝试 三 次 。 包 体 如 下 : 
with Ada.Interrupts.Names; use Ada.Interrupts; 

with System; use System; 


with System.Storage Elements; use System.Storage Elements; 
package body Adc Device Driver is 


Bits_In_Word : constant := 16; 
Word : constant :- 2; -- 字 中 的 字 节 数 
type Flag is (Down, Set); 599 
i 

type Control Register is 601 
record 

Ad Start : Flag; 

Ienable : Flag; 

Done : Flag; 

Ch : Channel; 

Error : Flag; 


end record; 


for Control Register use 


-- 规定 控制 寄存 器 的 格式 


record 
Ad_Start at 0*Word range 0..0; 
Tenable at 0*Word range 6..6; 


Done at 0*Word range 7..7; 
Ch at 0*Word range 8..13; 
Error at O*Word range 15..15; 


end record; 


for Control Register' Size use Bits In Word; 
-- 寄存 器 16 位 长 

for Control Register， Alignment use Word; 
-- 在 字 边 界 上 


for Control Register’ Bit order use Low Order First; 


type Data Register is range 0 .. Max Measure; 
for Data Register' Size use Bits In Word; 
-~ 寄存 器 16 位 长 


Contr Reg Addr : constant Address :- To_Address (8#150002#); 
Data Reg Addr : Constant Address := To_Address (8#150000#) ; 
Adc Priority : constant Interrupt Priority := 63; ^ 
Control Reg : aliased Control Register; . | 

~~ 别名 指出 用 指针 去 访问 它 


for Control Reg' Address use Contr Reg Addr; 
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-- 规定 控制 寄存 器 的 地 址 
Data_Reg : aliased Data_Register; 
for Data_Reg' Address use Data_Reg_Addr; 


-- 规定 数据 寄存 器 的 地 址 


protected type Interrupt_Interface(Int_Id : Interrupt_Id; 


Cr : access Control Register; 
Dr : access Data_Register) is 
entry Read(Chan : Channel; M : out Measurement); 


private 


entry Done (Chan : Channel; M : out Measurement); 


procedure Handler; 
pragma Attach Handler(Handler, Int Id); 
pragma Interrupt Priority(Adc Priority); 
-- 见 13 .11 节 关于 优先 级 的 讨论 
Interrupt_Occurred : Boolean := False; 
Next_Request : Boolean := True 
end Interrupt_Interface; 


`“. 


Adc_Interface : Interrupt_Interface(Names.Adc, 
Control_Reg' Access, 
Data Reg' Access); 
-~ 这 假设 了 ‘Ade’ 被 作为 Ada.Interrupts.Names 中 的 
-~ 一 个 Interrupt_ Id 登录 
-- ‘Access 给 出 对 象 的 地 址 


protected body Interrupt_Interface is 


entry Read(Chan : Channel; M : out Measurement) 
when Next Request is 
Shadow Register : Control Register; 


begin 
Shadow Register := (Ad Start => Set, Ienable => Set, 
Done => Down, Ch => Chan, Error => Down); 
Cr.all := Shadow Register; U 
Interrupt Occurred :- False; 


Next Request :- False; 
requeue Done; 
end Read; 


procedure Handler is 
begin 

Interrupt Occurred := True; 
end Handler; 


entry Done(Chan : Channel; M : out Measurement) 


when Interrupt Occurred. is 


begin 
Next Request :- True; . 
if Cr.Done - Set and Cr. Error - Down then 


M := Measurement(Dr.all); 
else 
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raise Conversion Error; 
end if; 
end Done; 
end Interrupt Interface; 


procedure Read(Ch : Channel; M : out Measurement) is 
begin 
for I in 1..3 loop 
begin 
Adc Interface.Read(Ch,M); 
return; 
exception 
when Conversion Error -» null; 
end; 
end loop; 
raise Conversion Error; 
end Read; 
end Adc Device Driver; 


客户 任务 只 需 调 用 Read 过 程 ， 指 出 读 的 通道 号 和 保存 实际 读 和 人 值 的 一 个 输出 变量 。 在 过 
程 里面 ， 一 个 内 层 循环 通过 调用 与 转换 器 相关 联 的 保护 对 象 里 面 的 Read 人 入口， 尝试 三 次 转换 。 
在 这 个 入 口 里 面 ， 控 制 寄存 器 Cr 被 设置 成 适当 的 值 。 一 旦 控制 寄存 器 被 赋值 ， 客 户 任务 在 一 
个 私有 入 口 重 排队 等 待 中 断 。 Next_Request 标 记 被 用 于 确保 只 有 一 个 对 Read 的 调用 是 未 
完成 的 。 

一 旦 中 断 到 达 (作为 一 个 无 参 保护 过 程 调用 )， 在 Done 入 口 的 屏障 被 设 为 真 ， 这 导致 Done 
人 入口 被 执行 (作为 中 断 处 理 程序 的 一 部 分 ) 以 确保 cr . Done 被 置 位 并 且 没 有 引起 出 错 标记 。 如 
果 是 这 种 情况 ， 根 据 缓冲 区 寄存 器 的 值 ， 使 用 一 个 类 型 转换 ， 构 造 出 一 个 输出 参数 M (注意 这 


个 值 不 能 超出 子 类 型 Measurement 的 范围 ) 。 如 果 转 换 不 成 功 ， 就 引发 conversion 


Error 异 常 ， 这 由 Read 过 程 捕获 ， 该 过 程 允许 出 错 传播 前 总 共 可 以 尝试 三 次 转换 。 
上 面 的 例子 说 明 ， 在 写 设备 驱动 程序 时 ， 经 常 需要 将 对 象 从 一 种 类 型 转换 到 另 一 种 类 型 。 
在 这 种 情况 下 ，Ada 的 强 类 型 特征 可 能 是 一 个 障碍 。 然而 ， 可 以 通过 使 用 作为 预定 义 库 单元 
提供 的 一 个 类 属 函数 来 避免 这 个 困难 : 
generic 
type Source (<>) is limited private; 
type Target (<>) is limited private; 
function Ada.Unchecked Conversion(S ; Source) return Target; 
pragma Convention(Intrinsic, Ada.Unchecked Conversion); 
pragma Pure(Ada.Unchecked Conversion); 
不 加 检查 的 转换 的 作用 是 将 源 的 位 模式 拷贝 给 目标 。 程序 员 必 须 确保 转换 是 明智 的 ， 并 且 所 
有 可 能 的 模式 都 是 目标 可 接受 的 。 


15.4.4 通过 特别 指令 访问 WO 设备 
如 果 需 要 特别 的 指令 ， 可 以 将 汇编 代码 集成 到 Ada 代 码 中 去 。 机 器 代码 的 插入 机 制 允 许 程 


序 员 编 写 包 含 明显 的 非 Ada 对 象 的 Ada 代 码 。 这 是 通过 在 子 程序 体 的 上 下 文 里 只 允许 有 机 器 代 
码 指令 的 这 种 受 控 方 式 实现 的 。 此 外 ， 如 果 一 个 子 程序 包含 代码 语句 ， 那么 它 就 只 能 包含 代 
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码 语句 和 “use” 子 句 〈 注 解 和 编 用 也 照常 允许 )。 
就 像 预 期 的 那样 ， 使 用 代码 插入 的 细节 和 特征 主要 依赖 于 实现 ， 实 现 专 有 的 编 用 和 属性 
可 用 于 对 定义 代码 指令 的 对 象 的 使 用 强加 特殊 限制 和 调用 约定 。 一 个 代码 语句 有 如 下 结构 : 
代码 语句 ::= 限定 表达 式 
限定 表达 式 必须 是 名 为 System.Machine_Code 的 预定 义 库 包 中 声明 的 一 种 类 型 。 就 是 
这 个 包 提 供 了 记录 声明 (标准 Ada 中 ) 去 表示 目标 机 器 的 指令 。 以 下 的 例子 说 明了 这 个 方法 : 
D': Data; -- 待 输入 
procedure In Op; pragma Inline(In Op); 
procedure In Op is 
use System.Machine Code; 
begin 
My Machine Format' (Code => In Instruction, Reg => 1, Port => 1); 
My Machine Format' (CODE => SAVE, REG =>, S' Address); 
end; 
编 用 Inline 指 示 : 只 要 使 用 了 子 程序 ， 编 译 器 把 插入 式 代 码 ( 而 不 是 过 程 调用 ) 包含 进来 。 
虽然 这 个 代码 插入 方法 是 在 Ada 中 定义 的 ， 但 该 语言 说 得 很 清楚 (ARM 13.8.4): 实现 不 
需要 提供 一 个 Machine_Code 包 ,除非 系统 编程 附件 是 得 到 支持 的 。 如 果 不 是 这 样 的 ， 就 禁 
止 使 用 机 器 代码 插入 。 


15.5 实时 Java 


虽然 Java 最 初 是 为 幅 入 式 系 统 设计 的 ， 并 且 对 图 形 编程 和 文件 处 理 的 设施 同等 重视 ， 然 
而 这 种 语言 没有 涉及 如 何 对 设备 驱动 程序 或 处 理 中 断 进行 编程 。 实时 Java 企 图 纠正 这 种 状况 ， 
但 目前 只 能 提供 有 限 的 支持 。 


15.5.1 设备 寄存 器 的 寻 址 和 操纵 


实时 Java 支 持 通过 原始 存储 器 (raw memory) 的 观念 访问 设备 寄存 器 的 容量 。 人 允许 实现 
支持 一 定 范围 内 的 存储 类 型 ， 例 如 DMA 存 储 器 或 共享 存储 器 。 这 样 的 一 个 存储 器 可 以 分 配给 
1/0 寄 存 器 : IO Page. #RawMemoryAccess (在 程序 15-3 中 定义 ) 可 用 于 读 或 写 这 种 存 
储 器 。 这 个 方法 不 允许 用 户 定义 的 对 象 被 映射 到 原始 存储 器 ， 因 为 这 可 能 潜在 地 破坏 类 型 机 
制 。 因 此 ， 必 须 作 为 基本 数据 类 型 (byte. int, short. long) 访问 单个 的 寄存 器 并 且 
使 用 低级 的 逐 位 操作 。 v 


程序 15-3 类 RawMemoryClass 的 摘录 


public class RawMemoryAccess 
{ B 
protected RawMemoryAccess(long base, long size); 
protected RawMemor yAccess (RawMemoryAccess memory, long base, 
long size); 
public static RawMemoryAccess create( java. lang.Object type, long size) | 


throws SecurityException, OffsetOutOfBoundsException, 
SizeOutOfBoundsException, 


UnsupportedPhysicalMemoryException; 
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} 


CO eee 


public static RawMemoryAccess create(java.lang.Object type, 
long base, long size) 
throws SecurityException, OffsetOutOfBoundsException, 
SizeOutOfBoundsException, 
UnsupportedPhysicalMemoryException; 


public byte getByte(long offset) 
throws SizeOutOfBoundsException, OffsetOutOfBoundsException; 


public void getBytes(long offset, byte[] bytes, int low, 
int number) throws 
SizeOutOfBoundsException, OffsetOutOfBoundsException; 


// 对 整 型 、 长 整 型 、 短 整 型 类 似 
public void setByte(long offset, byte value) throws 


SizeOutOfBoundsException, OffsetOutOfBoundsException; 


public void setBytes(long offset, byte(] bytes, int low, 
int number) throws 
SizeOutOfBoundsException, OffsetOutOfBoundsException; 


// 对 整 型 、 长 整 型 、 短 整 型 类 似 ' 


再 次 研究 在 15.4.3 节 中 给 出 的 简单 ADC 的 控制 和 状态 寄存 器 。 


位 名 字 含义 

0 A/D 启 动 置 1 启动 转换 

6 中 断 人 允许 /禁止 置 1 允 许 中 新 

7 做 完 转换 完成 时 置 1 

8-13 通道 转换 器 有 64 个 模拟 输入 ， 所 需 的 具体 通道 由 通道 值 指 出 - 
15 - 出 错 : 若 设 备 功能 出 错 ， 由 转换 器 置 1 


首先 必须 为 寄存 器 创建 一 个 类 。 这 个 类 的 构造 器 创建 RawMemoryAccess 类 的 一 个 实例 ， 
指明 存储 器 类 型 为 TO_Page。 然后 方法 setcontrolWord 可 以 用 于 访问 寄存 器 自身 。 


public class ControlAndStatusRegister 


{ 


} 
现在 使 


RawMemoryAccess rawMemory; 


public ControlandStatusRegister (long base, long size) 
{ 
rawMemory = RawMemoryAccess.create (10 Page, base, size); 


) 


public void setControlWord (short value) 
{ 
rawMemory.setShort (0, value); 
} 、 


用 影子 设备 寄存 器 和 逐 位 逻辑 操作 符 ， 就 能 够 构造 正确 的 位 模式 。 例 如 ， 在 通道 6 开始 


一 个 转换 : 


byte shadow, channel; 
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final byte start = 01; 

final byte enable = 040; 

final long csrAddress = 015002; 

final long csrSize = 2; 

ControlAndStatusRegister csr = new 
ControlAndStatusRegister (csrAddress, csrSize); 


channel = 6; 
shadow = (channel << 8 | start | enable); 
csr.setControlword(shadow); 


15.5.2 ”中断 处 理 


实时 Java 将 中 断 看 作 异 步 事 件 〈 见 10.7 节 )。 因 而 发 生 中 断 等 同 于 方法 fire 被 调用 。 在 中 
断 和 事件 间 的 关联 是 通过 调用 AsyncEvent 类 的 bindTo 方 法 实现 的 。 参 数 是 字符 申 类 型 的 ， 
并 以 一 种 依赖 于 实现 的 方式 使 用 一 一 个 可 以 传递 中 断 向 量 地址 的 方法 。 当 中 断 发 生 时 ， 调 
用 适当 处 理 程序 的 fire 方 法 。 现在， 可 以 将 处 理 程序 和 一 个 可 调度 的 对 象 联系 起 来 并 给 它 合 
适 的 优先 级 和 启动 参数 。 

AsyncEvent Interrupt = new AsyncEvent(); 

AsyncEventHandler InterruptHandler = new BoundAsyncEventHandler ( 

priParam, releaseParam, null, null, null); 


Interrupt .addHandler (InterruptHandler); 
Interrupt.bindTo("177760"); 


对 于 实时 Java 程 序 在 一 个 符合 POSIX 的 操作 系统 上 执行 的 情况 ， 类 
POSIXSignalHandler ( 见 程序 15-4 ) 可 以 用 于 将 异步 事件 处 理 程序 和 一 个 POSIX 信 号 的 
出 现 关联 起 来 。 有 趣 的 是 ， 实 时 Java 不 支持 POSIX 实 时 信和 号 。 


程序 15-4 类 POSIXSignalHandler 的 摘录 


public final class POSIXSignalHandler 
{ 
public static final int SIGABRT; 
public static final int SIGALRM; 
public static final int SIGBUS 


public static synchronized void addHandler(int signal, 
AsyncEventHandler handler); 


public static synchronized void removeHandler(int signal, 
AsyncEventHandler handler); 


public static synchronized void setHandler(int signal, 
AsyncEventHandler handler); 


} 


eee 


15.6 occam2 


本 章 的 前 面 几 节 已 经 说 明 了 通信 和 同步 的 基本 共享 变量 模型 是 怎样 被 映射 到 具有 存储 
BRREACUORUELSS ERU. SRTA, 这 种 模型 并 不 处 理 具有 优雅 专用 指令 而 是 求助 于 特定 的 专用 过 
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程 的 机 器 、 嵌 入 的 汇编 代码 或 被 编译 器 识别 的 特殊 类 型 的 变量 。 在 这 一 节 ，occam2 语 言 将 作 
为 基于 消息 的 并 发 编程 语言 的 例子 来 考察 ， 它 使 用 消息 进行 设备 控制 。 

虽然 occam2 是 为 传输 机 设计 的 ， 但 在 下 面 的 讨论 中 它 被 看 作 是 一 种 与 机 器 无 关 的 语言 。 
首先 介绍 模型 ， 然 后 考虑 它 在 存储 - 映射 式 机 器 和 专用 指令 机 器 上 的 实现 。 由 于 使 用 了 共享 
变量 设备 驱动 ， 必 须 考 虑 设备 封装 、 寄 存 器 操纵 和 中 断 处 理 三 个 问题 。 

1. 模块 性 和 封装 设施 

occam iON PEREA, E, KAET RA ER. 

2. 设备 寄存器 的 寻 址 和 操纵 

设备 寄存 器 被 映射 到 PORT ， 它 在 概念 上 与 occam2 的 通道 相似 。 例如 ， 如 果 一 个 16 位 寄存 

器 是 在 地 址 X 上 ， 那 么 PORT ?被 定义 为 : l 


PORT OF INT16 P: 
PLACE P AT X: 


注意 ， 这 个 地 址 可 被 解释 成 一 个 内 存 地 址 ， 或 者 是 一 个 设备 地 址 ， 这 依赖 于 实现 。 同 设备 寄 
存 器 的 交互 是 通过 读 或 写 这 个 端口 得 到 的 : 

Pia -- SA 的 值 到 端口 

P? B -- 读 端 口 的 值 到 B 


一 个 端口 不 能 被 定义 为 只 读 或 只 

在 occam2 中 , Wi FBGA) DOE RE om ee ACIE ENAS NE. 读 和 写 
都 不 能 导致 执行 进程 被 挂 起 ， 一 个 值 总 是 被 写 到 指定 的 地 址 ， 相 似 地 ， 值 总 是 被 读 。 因 此 ， 
端口 就 是 有 一 个 伙伴 程序 总 是 准备 好 进行 通信 的 通道 。 

occam2 提 供 使 用 移 位 操作 和 逐 位 逻辑 表达 式 来 操纵 设备 寄存 器 的 设施 。 然 而 ， 它 没有 和 
Modula-1 的 位 类 型 或 是 Ada 的 表示 规格 说 明 等 价 的 东西 。 

3. 中断 处 理 

在 occam2 中 ， 中 断 作为 与 硬件 进程 的 会 合 来 处 理 。 与 中 断 相 关联 的 ， 必 须 有 一 个 依赖 于 
实现 的 地 址 ， 在 这 一 章 描述 的 简单 的 输入 /输出 系统 中 ， 这 个 地 址 就 是 中 断 向 量 的 地 址 ， 通 首 
被 映射 到 这 个 地 址 (ADDR): 

CHAN OF ANY Interrupt: 

PLACE Interrupt AT ADDR: 
注意 这 是 通道 而 不 是 端口 。 这 是 因为 存在 与 中 断 相 关联 的 同步 ， 而 没有 与 访问 设备 寄存 器 相 
关联 。 这 个 通道 的 数据 协议 也 是 依赖 于 实现 的 。 

中 断 处 理 程序 可 以 这 样 等 待 从 指定 的 通道 来 的 输入 . 


INT ANY:  -- 定义 ANY 是 协议 类 型 的 
SEQ 


-- 使 用 端口 允许 中 断 

Interrupt ? ANY 

~~ 中 断 出 现时 的 必需 的 动作 
因此 当 外 部 中 断 发 生 时 ， 运 行 时 支持 系统 必须 与 指定 的 通道 同步 。 为 了 得 到 响应 ， 处 理 中 断 
的 进程 通常 被 给 予 高 优先 级 。 ANDEN PII CBT, EARS A E 一 定 
实际 执行 (假设 没有 别 的 高 优先 级 的 进程 在 运行 )。 
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为 了 接待 因 在 一 个 特定 时 间 段 内 没有 处 理 而 丢失 的 中 断 ， 必 须 将 硬件 看 成 发 出 了 一 个 通 
信 超 时 。 所 以 ， 必 须 想 像 硬 件 这 样 发 出 : 
ALT 
Interrupt ? ANY 
SKIP 
CLOCK ? AFTER Time PLUS Timeout 
SKIP 
而 且 处 理 程序 必须 执行 : 
Interrupt ! ANY 
这 是 因为 只 有 输入 请 求 可 以 有 一 个 与 之 关联 的 超时 。 
4. 在 存储 一 映射 式 机 器 和 专用 指令 机 器 上 的 实现 
为 了 将 occam2 的 设备 驱动 模型 映射 到 存储 - 映射 式 机 器 上 ， 只 需要 把 在 端口 的 输入 输出 
请 求 映射 成 设备 寄存 器 上 的 读 操作 和 写 操作 。 为 了 将 此 模型 映射 到 专用 指令 机 器 上 ， 需 要 进 
行 如 下 的 工作 : 
“使 用 PLACE 语句 将 一 个 occam2 PORT 同一 个 IO 端口 相关 联 ; 
* 将 发 送 到 occam2 PORT 的 数据 放 到 适当 的 累加 器 以 供 输出 机 器 指令 使 用 ; 
*。 执行 完 输入 指令 后 ， BADE SIS RINE GE Moccan? PORY 按 收 的 数据 成 为 可 用 的 。 


15.6.1 一 个 设备 驱动 程序 的 例子 


为 了 举例 说 明 occam2 提 供 的 低级 输入 /输出 设施 的 使 用 ， 将 建立 一 个 用 于 一 台 存 储 - 映射 
式 机 器 控制 模拟 数字 转换 器 (ADC) 的 进程 。 这 个 转换 器 与 15.4.3 节 中 描述 的 用 Ada 和 Java 实 
现 的 相同 。 为 了 读 取 一 个 特定 的 模拟 输入 ， 在 8 到 13 位 给 出 了 通道 地 址 (不 能 与 occam2 的 通道 
弄 混 )， 将 0 位 置 1 启动 转换 器 。 当 把 一 个 值 被 加 载 到 结果 寄存 器 时 ， 这 个 设备 就 中 断 处 理 器 。 
在 读 结果 寄存 器 之 前 将 检查 出 错 标 记 。 在 这 个 交互 过 程 中 最 好 禁止 中 断 ; 
设备 驱动 程序 将 循环 地 接收 请 求 并 提供 结果 、 它 被 编程 为 一 个 有 两 通道 接口 的 PROC，。 当 
地 址 (对 于 8 个 模拟 输入 通道 之 一 的 ) 被 传 到 input 时 ， 16 位 的 结果 将 通过 通道 output 返 回 。 
CHAN OF INT16 request: 
CHAN OF INT16 return: 
PROC ADC (CHAN OF INT16 input, output) - 
-~ PROC 的 体 ， 见 下 
PRI PAR 
ADC(request, return) 
PAR 
-- 程序 的 其 余部 分 


PRI PAR 是 理想 的 ， 因为 每 次 它 补 使 用 时 ADC_ 定 处 理 _ 个 中 有 因而 应 当 在 最 高 优先 级 运 
行 。 

在 PROC 体 的 内 部 ， 必 须 首先 声明 中 断 通道 和 两 个 PORT: 

PORT OF INT16 Control.Register: 

PLACE Control.Register AT #AA12#: 

PORT OF INT16 Buffer.Register: 


PLACE Buffer.Register AT #AA14#: 
CHAN OF ANY Interrupt: 
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PLACE Interrupt AT #40#: 
INT16 Control.R: -- 表示 控制 寄存 器 的 变量 


XX BHAAL2Z#AIFAALSF A HATA EEE 16 AHL, £405 pE Ie HEHE. 
为 了 指示 硬件 进行 一 个 操作 ， 要 求 将 控制 寄存 器 的 第 0 位 和 第 6 位 置 1， 同 时 除了 第 8 到 13 
位 (包含) 外 的 其 他 的 位 必须 置 为 0。 这 通过 使 用 以 下 的 常数 实现 : 


VAL INT16 zero IS 0: 
VAL INT16 Go IS 65: 


从 “input” 通 道 收 到 地 址 后 ， 它 的 值 必 须 赋 到 控制 寄存 器 的 8 到 10 位 。 这 是 通过 使 用 移 位 操作 
实现 的 。 因 此 ， 为 了 开始 转换 必须 执行 的 动作 是 : 


INT16 Address: 


SEQ 
input ? Address 
IF 
(Address < 0) OR (Address > 63) 
output ! MOSTNEG INT16 -- 出 错 情况 
TRUE 
SEQ 
Control.R :- zero 
Control.R :- Address «« 8 
Control.R :- Control.R BITOR Go 


Control.Register ! Control.R 


一 且 中 断 到 达 ， 就 读 取 控 制 寄存 器 ， 然 后 检查 出 错 标记 和 “Done' 。 要 做 到 这 一 点 ， 控 制 寄存 
器 必须 被 给 以 适当 的 常量 值 : 
VAL INT16 Done IS 128: 
VAL INT16 Error IS MOSTNEG INT16: 
MOSTNEG 的 表示 是 1 000 000 000 000 000. 
再 进行 下 面 的 检查 : 
SEQ 
Control.Register ? Control.R 
IF 
((Done BITAND Control.R)= 0) OR 
((Error BITAND Control.R)<> zero) 


-~ 出 错 
TRUE 


-- 缓冲 区 寄存 器 有 了 适当 的 值 


虽然 设备 驱动 程序 将 在 高 优先 级 上 运行 ， 而 客户 进程 通常 却 不 ， 因 此 ， 如 果 驱 动 程序 企 
图 直接 调用 客户 而 客户 还 没有 就 结 ， 驱 动 程序 就 要 延迟 。 对 于 异步 产生 数据 的 输入 设备 ， 这 
个 延迟 可 能 导致 驱动 程序 错过 一 个 中 断 。 为 了 克服 这 个 问题 ， 输 入 数据 必须 被 缓冲 。 下 面 给 
出 了 一 个 合适 的 循环 缓冲 区 。 注意， 因为 客户 希望 从 缓冲 区 中 读数 据 ， 又 因为 缓冲 区 中 的 
ADT 不 可 能 有 输出 守备 ， 需 要 另 一 个 单独 的 缓冲 区 。 为 了 确保 设备 驱动 程序 不 因 调 度 算法 而 
延迟 ， 两 个 缓冲 区 进程 (以 及 驱动 程序 ) 都 必须 在 高 优先 级 执行 。 

PROC buffer(CHAN OF INT put, get) 

CHAN OF INT Request, Reply: 


an 
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PAR 
VAL INT Buf.Size IS 32: 
INT top, base, contents: 
[Buf.Size]buffer: 


SEQ 
contents :- 0 
top := 0 
base := 0 
INT ANY: ` 
WHILE TRUE l 
ALT 
contents < Buf.Size & put ? buffer [top] 
SEQ 
contents := contents + 1 
top := (top + 1) REM Buf.Size 
contents > 0 & Request ? ANY 
SEQ 
Reply ! buffer[base] 
contents :- contents - 1 
base := (base + 1) REM Buf.Size 
INT Temp: — -- 单个 的 缓冲 区 进程 
VAL INT ANY IS 0: -- Wi 
WHILE TRUE 
SEQ 


Request ! ANY 
Reply ? Temp 
get ! Temp 


现在 可 以 给 出 PRoc 的 完整 代码 。 设备 驱动 程序 被 重新 构造 ， 使 得 为 了 得 到 正确 的 读 入 值 可 以 
尝试 三 次 。 
PROC ADC(CHAN OF INT16 input, output) 
PORT OF INT16 Control.Register: 
PLACE Control.Register AT #AA12#: 


PORT OF INT16 Buffer.Register: 
PLACE Buffer.Register AT #AA14#: 


CHAN OF ANY Interrupt: 
PLACE Interrupt AT £405: 
TIMER CLOCK: 


INT16 Control.R: -- 表示 控制 缓冲 区 的 变量 


INT16 Buffer.R: -- 表示 结果 缓冲 区 的 变量 
INT Time: 


VAL INT16 zero IS 0: 

“VAL INT16 Go IS 65: 

VAL INT16 Done rs 128: 

VAL INT16 Error IS MOSTNEG INT16: 


VAL INT Timeout IS 600000: -- 或 某 个 其 他 适宜 的 信 “ 
INT ANY: 


INT16 Address: 
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BOOL Found, Error: 
CHAN OF INT16 Buff.In: 


PAR 
buffer(Buff.In, output) 
INT16 Try: 
WHILE TRUE 
SEQ 
input ? Address 
IF 
(Address < 0) OR (Address > 63) 
Buff.In ! MOSTNEG INT16 
-~ 出 错 情况 
TRUE 
SEQ 
Try := 0 
Error := FALSE 
Found := FALSE 
WHILE (Try < 3) AND ((NOT Found) AND (NOT Error)) 
-- 为 从 ADC 获 取 一 个 读数 尝试 三 次 。 
-- 这 个 读数 可 能 是 正确 的 ， 也 可 能 被 标记 为 出 错 。 
SEQ 
Control.R := zero 
Control.R := Address << 8 
Control.R := Control.R BITOR Go 
" Control.Register ! Control.R 
CLOCK ? Time 
ALT 
Interrupt ? ANY 
SEQ 
Control.Register ? Control.R 
IF 


((Done BITAND Control.R) = 0) OR 
((Error BITAND Control.R) <> zero) 
SEQ 
Error := TRUE 
Buff.In ! MOSTNEG INT16 -- 出 错 情况 
TRUE 
SEQ 
Found :- TRUE 
Buffer.Register ? Buffer.R 
Buff.In ! Buffer.R 
CLOCK ? AFTER Time PLUS Timeout 
-- 设备 未 响应 
Try := Try + 1 
IF 
(NOT Found) AND (NOT Error) 


Buff.In | MOSTNEG INT16 
TRUE 
SKIP 
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15.6.2 occam2 设 备 驱 动 的 困难 

上 面 的 例子 说 明了 在 occam2 中 写 设 备 驱 动 程序 和 中 断 处 理 程 序 的 一 些 困难 。 特 别 是 在 设 
备 的 硬件 优先 级 和 分 配给 驱动 程序 进程 的 优先 级 之 间 没 有 直接 的 联系 。 为 了 确保 高 优先 级 的 
设备 优先 ， 在 PRI PAR 构 造 中 必须 将 所 有 的 设备 驱动 程序 在 程序 外 层 进行 适当 排序 。 

另 一 个 主要 的 困难 是 缺乏 表达 设备 寄存 器 的 数据 结构 。 这 导致 程序 员 不 得 不 使 用 低级 的 
位 操作 技术 ， 而 这 可 能 是 易 出 错 的 。 


15.7 C 和 老式 实时 语言 


第 一 代 实时 编程 语言 (RTL/2、Coral 66 等 等 ) 并 没有 提供 对 并 发 编程 或 设备 编程 的 真正 
支持 。 中 断 典 型 地 被 看 成 过 程 调用 ， 通 常 访问 设备 寄存 器 的 惟一 可 行 的 方法 是 允许 将 汇编 语 
言 代码 借入 到 程序 中 。 例 如 ，RTL/2 (Barnes, 1976) 有 如 下 的 代码 语句 : 


code code size, stack size 
mov R3, @variable 


@rtl 
这 种 方法 的 缺点 之 一 是 : 为 了 访问 RTL/2 变 量 ， 必 须知 道 由 编译 器 生成 的 代码 的 结构 ， 

后 期 实时 语言 的 另 一 个 共同 特征 是 它们 都 趋向 于 弱 类 型 。 因 此 变量 可 以 被 处 理 为 定 长 的 
位 惠 。 这 就 使 得 能 使 用 低级 操作 符 操纵 寄存 器 的 单个 的 位 和 位 段 ， 比 如 逻辑 移 位 和 循环 移 位 
指令 。 可 是 ， 弱 类 型 的 缺点 远 远大 于 这 个 灵活 性 的 好 处 。 

虽然 C 语 言 比 RTL/2 和 Coral 66 出 现 得 晚 ， 却 也 延续 了 这 个 传统 。 设备 寄存 器 由 可 以 赋值 
到 寄存 器 的 存储 器 位 置 的 指针 变量 寻 址 。 通 过 低级 逐 位 逻辑 操作 符 或 通过 使 用 结构 定义 中 的 
位 段 操纵 它们 。 后 者 看 起 来 类 似 于 Ada 中 的 记录 表示 子 句 。 但 实际 上 是 既 依赖 于 机 器 又 依赖 二 
胸 译 器 。 为 了 说 明 C 的 位 操作 功能 ， 下 面 介绍 两 个 例子 ， 第 一 个 使 用 低级 逐 位 罗 辑 操作 符 ， 第 
二 个 使 用 位 段 。 

重新 来 看 15.4.3 节 中 给 出 的 简单 ADC 的 控制 和 状态 寄存 器 。 

为 了 使 用 逐 位 逻辑 操作 符 ， 首 先 需要 定义 对 应 每 一 个 位 位 置 的 一 个 屏蔽 码 组 ， 


#define START 01 /* 和 白 0 开 始 的 数 是 16 进 制 的 * / 
#define ENABLE 040 
#define ERROR 0100000 


channel 位 段 要 么 是 在 逐 位 的 基础 上 定义 的 ， 要 么 将 这 个 值 移 到 它 的 正确 的 位 置 上 。 下 
面 使 用 后 一 种 方法 ， 其 中 需要 6 号 通道 : 

unsigned short int *register, shadow, channel; 

register = OxAA12; 


channel = 6; 
shadow =0; 


shadow |= (channel << 8)|START | ENABLE 


*register = shadow 
使 用 位 段 ， 就 成 为 : 


struct { 





W A Hy dE 477 
unsigned int start 1; 一 位 长 位 段 
unsigned int : 5; 五 位 长 无 名 位 段 
unsigned int interrupt : 1; 一 位 长 位 段 
unsigned int Done D1; 一 位 长 位 段 
unsigned int Channel ”: 6; 六 位 长 位 段 
unsigned int error D3; 一 位 长 位 段 


} control_register; 


control register *register, shadow; 
register = 0xAA12; 

shadow.start = 1; 

shadow.Interrupt = 1; 
shadow.channel = 6; 

shadow.error = 0; 


*register = shadow; 


这 个 例子 中 有 两 点 需要 注意 : 

*C 不 能 保证 位 段 的 排序 ， 因 此 编译 器 可 以 决定 使 用 不 同 于 程序 员 意 图 的 次 序 ， 将 位 段 打 

包 到 字 里 面 。 

*C 语 言 不 试图 决定 机 器 的 数位 是 从 左 到 右 或 是 从 右 到 左 。 
有 了 这 两 点 ， 位 段 不 应 用 于 访问 设备 寄存 器 就 很 清楚 了 ， 除 非 程序 员 知道 特定 的 编译 器 对 使 
用 的 机 器 是 怎样 实现 位 段 的 。 即 使 在 这 种 情况 下 ， 代 码 也 是 不 能 移植 的 。 

为 了 可 移植 性 ，C 程 序 员 被 迫使 用 低级 的 逐 位 逻辑 操作 符 。 下 面 的 例子 显示 了 这 些 代码 是 
怎 伴 很 快 变 成 不 可 读 的 《虽然 可 以 争辩 说 它们 产生 更 高 效 的 代码 )。 下 面 的 过 程 将 reg 所 指向 
的 寄存 器 从 位 置 p 开 始 的 n 位 设置 为 x。 


unsigned int setbits(unsigned int *reg, unsigned int n, 
unsigned int p, unsigned int x) 
{ 


unsigned int data, mask; 


data = (x & C(CO << n)))«c(p); /* 要 被 屏蔽 的 数据 */ 
mask = `~ (“O<<n); /* Hn) */ 

*reg &- - (mask<<(p)); /* iBERSUBSI/ 

*reg |= data; /* 数据 中 的 OR «/- 


) 
在 这 个 例子 中 C 代 码 相当 简洁 : -的 意思 是 逐 位 求 补 ，<< 是 向 左 移 位 UNON), LEEN 
与”，! 是 逐 位 的 “或 "。 

按照 15.1.4 节 中 概述 的 简单 的 MO 体系 结构 ， 通 过 将 无 参 过 程 调 用 的 地 址 放置 在 适当 的 中 
断 向 量 位 置 而 指定 中 断 处 理 程序 。 一 旦 执行 了 这 个 过 程 ， 就 一 定 可 以 直接 将 同 程序 其 余部 分 
的 任何 通信 和 同步 编程 。 

虽然 POSIX 提 供 了 替代 机 制 ， 它 在 理论 论 上 可 用 于 提供 一 个 中 断 处理 的 替代 模型 (例如 ， 


将 中 断 和 条 件 变 县 关联 起 来 )， 但 现在 仍然 没有 将 用 户 定义 的 处 理 程序 附加 到 中 断 上 的 标准 
机 制 。 


19.8 设备 驱动 程序 的 调度 
因为 许多 实时 系统 都 有 LO 部 件 ， 在 调度 分 析 中 加 入 低级 编程 专 有 的 特征 就 是 很 重要 的 了 
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已 经 注意 到 ，DMA 和 通道 程序 控制 技术 是 太 不 可 预测 (在 它们 的 时 态 行为 方面 ) 了 ， 以 至 于 
无 法 分 析 它 们 。 因 此 这 一 节 关 注 的 是 中 断 驱动 程序 控制 方法 和 状态 驱动 方法 。 

只 要 中 断 启 动 偶发 进程 执行 ， 就 必须 给 中 断 处 理 程序 自身 分 配 一 定 的 开销 。 处 理 程序 的 
优先 级 很 可 能 比 偶发 进程 的 优先 级 高 ， 这 意味 着 具有 比 偶发 进程 高 优先 级 的 进程 (但 是 优先 
级 低 于 中 断 处 理 程序 ) 将 受到 干扰 。 其 实 ， 这 是 优先 级 反 转 的 例子 ， 因 为 处 理 程序 的 惟一 工 
作 就 是 启动 偶发 进程 一 一 它 的 理想 优先 级 应 该 与 偶发 进程 相同 。 令 人 遗憾 的 是 ， 大 部 分 的 硬 
件 平 台 要 求 中 断 优 先 级 比 普通 的 软件 优先 级 高 。 为 了 给 中 断 处 理 程序 建 模 ， 在 可 调度 性 测试 
中 包含 了 一 个 额外 的 “进程 。 它 的 “周期 ”等 于 偶发 进程 的 周期 ， 其 优先 级 与 中 断 优先 级 级 
别 相 同 ， 执 行 时 间 等 同 于 它 的 最 坏 情况 的 行为 。 

使 用 状态 驱动 设备 ， 控 制 代码 可 以 用 通常 的 方法 分 析 。 然 而 这 样 的 设备 带 来 了 特别 的 困 
难 。 使 用 一 个 输入 设备 的 协议 常常 是 这 样 的 : 请 求 读 ， 等 待 硬件 进行 读 ， 再 访问 寄存 器 将 读 
的 数据 取 到 程序 中 。 问 题 在 于 在 读 的 时 候 怎样 管理 延迟 。 依 赖 于 延迟 持续 时 间 的 长 得 ， 可 能 
有 三 种 方法 : 

* f£ “done” trid Lit Sf} 

* 在 未 来 的 某 个 时 候 重新 调度 进程 

* 对 于 周期 进程 ， 将 动作 在 周期 之 间 分 解 

对 于 很 短 的 延迟 ， 忙 等 待 是 可 接受 的 。 从 调度 的 观点 看 ,，“ 延 迟 ” 都 是 计算 时 间 ， 因 此 只 
要 “延迟 ”是 有 界 的 ， 分 析 的 方法 就 没有 改变 。 为 了 防止 设备 中 的 失效 ( 即 它 从 不 设置 done 
位 )， 可 以 使 用 超时 算法 ( 见 12.4 节 )。 

如 果 延 迟 相当 长 ， 采 用 挂 起 进程 、 执 行 其 他 工作 、 然 后 在 值 应 该 成 为 可 用 的 的 某 个 未 来 
时 刻 返 回 到 MO 进程 的 方法 更 有 效 。 所 以 ， 如 果 读 的 时 间 是 30ms ， 代 码 就 是 : 

begin 

- 准备 读 


delay Milliseconds(30); 
-- 取 走 读数 并 使 用 


end; 
从 调度 的 观点 看 ， 这 个 结构 有 三 个 重要 的 上 暗示。 首先 ， 响 应 时 间 不 容易 计算 。 进 程 的 每 一 半 
都 必须 单独 地 分 析 。 总 响应 时 间 是 将 子 响 应 时 间 和 30ms 的 延迟 相 加 得 到 的 。 虽 然 在 进程 中 有 
延迟 ， 但 是 在 考虑 这 个 进程 对 低 优先 级 进程 的 影响 时 ， 这 个 延迟 可 以 忽略 。 第 一 ， 包 含 在 延 
迟 中 的 额外 计算 时 间 和 重新 调度 的 时 间 必 须 加 到 进程 的 最 坏 情况 执行 时 间 (参看 16.3 节 关于 
怎样 计算 系统 开销 的 讨论 )。 第 三 ， 对 阻塞 有 影响 。 记 得 简单 的 计算 进程 响应 时 间 的 方程 是 
( 3.13.75): 
Ri=Ci+ B+], ` 
BÆRER (WER, ARTERE ERD EERE). fel310 94 E gm “ 
了 对 于 资源 共享 的 各 种 协议 。 所 有 有 效 的 协议 都 有 一 个 性 质 ，B, 仅 由 一 个 阻塞 组 成 。 然 而 ， 
当 进程 延迟 时 (并 允许 较 低 优先 级 的 进程 执行 )， 当 它 从 延迟 队列 启动 时 有 可 能 再 次 被 阻塞 。 
因此 响应 时 间 的 方程 变 为 : 
Ri=C+(N+1)B+L 
这 里 N 是 内 部 延迟 的 数目 。 
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对 于 周期 性 进程 ， 有 另外 一 种 方法 管理 这 种 显 式 延迟 。 这 个 方法 被 称 为 周期 移 位 ， 它 在 
一 个 周期 开始 读 ， 但 是 在 下 一 个 周期 取 走 读 的 值 。 例 如 : 
-- 准备 第 一 次 读 
loop 
delay until Next Release; 
~- 检查 done 标 记 设 置 
-- RERA AHEM 
~- 准备 下 一 次 读 
Next_Release := Next_Release + Period; 
end loop; 


这 是 一 个 直接 的 方法 ， 对 调度 没有 影响 。 当 然 ， 读 数 是 过 时 了 一 个 周期 ， 对 应 用 来 说 这 可 能 
是 不 可 接受 的 。 为 了 确保 在 一 个 执行 结束 和 下 一 个 执行 开始 之 间 有 足够 的 间隙 ， 可 以 调整 进 
程 的 时 限 。 所 以 ， 如 果 3 是 设备 的 还 原 时 间 ， 要 求 的 约束 就 是 DPK7T- 98。 注意 读 的 最 大 停 洁 限 
制 为 T+D (或 T+R， 在 计算 了 最 坏 情 况 响 应 时 间 的 时 候 )。 


15.9 存储 管理 


伐 和 人 式 实时 系统 通常 只 有 有 限 数量 的 存储 器 可 用 ， 这 或 者 是 因为 成 本 ， 或 者 是 因为 与 周 
边 系统 相关 的 其 他 约束 〈 例 如 ， 大 小 、 功 率 或 重量 约束 )。 因 此 ， 需 要 控制 这 些 内 存 如 何 分 配 
以 便 它 们 能 被 更 有 效 地 使 用 。 此 外 ， 当 系统 中 有 不 止 一 种 类 型 的 存储 器 时 (有 不 同 的 访问 特 
征 )， 必 须 指示 编译 器 将 某 些 数据 类 型 放置 在 某 些 位 置 。 这 样 做 程序 才能 提高 性 能 和 可 预测 性 ， 
又 能 与 外 部 世界 交互 。 

这 一 章 已 经 考虑 了 数据 项 怎样 被 分 配 到 特定 的 存储 位 置 ， 在 存储 单元 中 的 某 些 位 段 怎样 
用 于 表示 指定 的 数据 类 型 。 这 一 节 考 虑 存储 管理 比较 一 般 的 问题 。 注 意 力 集中 在 编译 器 在 运 
行 时 用 于 管理 数据 的 两 个 基本 部 件 的 管理 : 堆 和 栈 。 

15.9.1 EFE 

大 部 分 编程 语言 的 运行 时 实现 提供 了 大 量 存储 器 ( 称 为 堆 )， 以 使 程序 员 可 以 在 运行 时 提 
出 分 配 大 块 存储 器 的 请 求 ( 例 如， 为 了 保存 一 个 在 编译 时 不 知道 边界 的 数组 )。 分 配器 GB 
是 new 操 作 符 ) 就 是 用 于 这 个 目的 。 它 返回 一 个 指向 对 于 程序 数据 结构 有 足够 大 小 的 堆 存 储 
空间 的 指针 。 运 行 时 支持 系统 负责 管理 这 个 堆 。 关 键 的 问题 是 决定 需要 多 大 的 空间 和 什么 时 
候 可 以 释放 分 配 的 空间 。 一 般 来 说 ， 第 一 个 问题 需要 应 用 的 知识 。 第 二 个 问题 可 以 采用 几 种 
方法 处 理 ， 包 括 : 

“要 求 程序 员 显 式 地 返回 内 存 一 一 这 是 易 出 错 的 ， 但 是 易于 执行 ; 这 是 C 编 程 语言 采用 的 

方法 ， 使 用 malloc 和 free 函 数 一 - 函 数 sizeof 可 以 给 出 数据 类 型 以 字 节 为 单位 的 大 

小 (从 编译 器 得 到 ) ; | 

“要 求 运行 时 支持 系统 管理 存储 器 ， 并 决定 什么 时 候 在 逻辑 上 它 不 再 被 访问 Ada 的 作 

用 域 规则 允许 它 的 实现 采用 这 个 方法 ; 当 访问 类 型 离开 作用 域 的 时 候 ， 与 那个 访问 类 型 

相关 的 所 有 内 存 都 被 释放 ; | 

OC 要求 运 行 时 支持 系统 管理 内 存 ， 并 释放 不 再 使 用 的 大 块 (垃圾 回收 ) -这 可 能 是 最 通 
”用 的 方法 ， 即 使 其 关联 的 访问 类 型 仍然 在 作用 域 之 内 也 多 许 释 放 内 存 。 | 
外 实时 的 观点 看 ， 上 述 方法 对 程序 时 间 性 属性 分 析 能 力 的 影响 依次 增 大 。 特 别 是 ， 垃 志 
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圾 回收 将 对 一 个 时 间 至 上 的 任务 的 反应 时 间 有 显著 的 影响 。 虽 然 在 实时 垃圾 回收 方面 做 了 很 
多 研究 工作 ， 并 且 持 续 地 取得 了 进展 (例如 ， 参 看 Lim 等 (1999)，Siebert (1999) 和 Kim 等 
(1999)), 但 在 时 间 至 上 的 系统 中 仍然 不 愿意 依赖 这 些 技术 。 

以 下 的 小 节 将 更 深入 地 研究 Ada 和 实时 Java 提 供 的 功能 。 

1. Ada 中 的 堆 管 理 1 

在 Ada 中 ， 堆 是 由 一 个 或 多 个 存储 池 表 示 的 。 存 储 池 与 一 个 特定 的 Ada 划 分 (对 于 非 分 布 式 
的 Ada 系 统 就 是 整个 程序 ) 相关 联 。 一 种 访问 类 型 的 每 个 对 象 都 有 一 个 与 之 关联 的 存储 池 。 分 
配器 (new) 从 目标 池 中 获得 存储 。Ada .Unchecked_Deallocation 将 数据 返回 到 池 中 。 实现 
可 以 支持 一 个 单独 的 、 当 划分 终止 时 将 被 恢复 的 全 局 池 ， 或 是 可 以 支持 定义 在 不 同 的 可 访问 级 
别 的 多 个 池 ， 当 退出 相关 联 的 作用 域 时 把 它们 恢复 。 上 默认 的 方式 是 实现 为 每 种 访问 类 型 选择 一 
个 标准 的 存储 池 。 注 意 ， 所 有 直接 访问 的 对 象 不 通过 指针 ) 都 放置 在 栈 中 ， 而 不 是 堆 中 。 

为 了 在 存储 管理 上 提供 更 多 的 用 户 控制 ，Ada 定 义 了 称 为 System.storage Pools 的 
包 ， 程 序 15-5 中 给 出 了 它 。 

程序 15-5 Ada 的 包 System.Storage_Pools 
with System.Storage Elements; 


package System. Storage Pools is 
pragma Preelaborate (System.Storage Pools); 


type Root Storage Pool is abstract new 
Ada.Finalization.Limited Controlled with private; 


procedure Allocate(Pool : in out Root Storage Pool; 
Storage Address : out Address; 
Size In Storage Elements : in System. 
Storage Elements.Storage Count; . 
Alignment : in System.Storage Elements.Storage Count) 
is abstract; 


procedure Deallocate(Pool : in out Root Storage Pool; 
Storage Address : in Address; 
$ize In Storage Elements : in System. 
Storage Elements.Storage Count; 
'Alignment : in System.Storage_Elements.Storage_ Count) 
is abstract; 


function Storage Size(Pool: Root Storage Pool) return 


System.Storage Elements.Storage Count is abstract; 
private ` 


end System.Storage_Pools; 


程序 员 通过 扩充 Root_storage_Poo1 类 型 可 以 实现 他 们 自己 的 存储 池 ， 并 对 子 程序 体 
提供 是 体 的 实现 。 为 了 将 访问 类 型 和 存储 池 相 关联 ， 首 先 声明 这 个 池 ， 然 后 使 用 Storage 
Pool 属 性 。 v | 
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My Pool : Some Storage Pool Type; 


type A is access Some Object; 


for A' Storage Pool use My Pool; 


现在 ， 所 有 使 用 A 的 “new” 调 用 都 将 自动 调用 Allocate; 对 Ada.Unchecked Deall- 
ocation 的 调用 将 调用 Deallocate; 它们 都 引用 My_Pool。 此 外 ， 当 访问 类 型 离开 作用 域 


时 ， 实 现 将 调用 Deallocate。 


最 后 , 应 当 注意 ，Ada 不 要 求实 现 支持 垃圾 回收 。 然 而 ， 它 确实 支持 一 个 编 用 Control1led， 


这 个 编 用 指示 对 一 个 特定 类 型 不 执行 垃圾 回收 。 
2. 实时 Java 中 的 堆 管理 


与 Ada 相 反 ，Java 中 所 有 的 对 象 都 在 堆 中 分 配 ，Java 要 求 垃圾 回收 有 一 个 有 效 的 实现 。 实 
时 Java 认 识 到 ， 必 须 使 存储 管理 能 不 受 各 种 古怪 风格 的 垃圾 回收 的 影响 。 为 此 ， 它 引入 存储 
区 域 的 概念 ， 一 些 存储 区 域 存在 于 传统 的 Java 堆 之 外 ， 并 且 从 不 受 垃圾 回收 的 影响 。 程 序 15-6 
为 所 有 存储 区 域 定义 了 抽象 类 。 当 进入 特定 的 存储 区 域 时 ， 所 有 对 象 的 分 配 都 在 那个 区 域内 


进行 。 


程序 15-6 ”Java 的 抽象 类 MemoryArea 


public abstract class MemoryArea 


{ 


} 


protected MemoryArea(long sizeInBytes); 


public void enter(java.lang.Runnable logic); 


// 在 方法 1ogic .run 执 行 期 间 ， 将 此 存储 区 域 同 当前 线程 关联 起 来 


public static MemoryArea getMemoryArea( java.lang.Object object); 


// 获取 同 此 对 象 关 联 的 存储 区 域 


public long memoryConsumed(); 
// 在 此 存储 区 域 消耗 的 字 节 数 
Public long memoryRemaining(); 


// 所 剩 字 节 数 


Public synchronized java.lang.Object newArray(java.lang.class type, 
int number) throws IllegalAccessException, 
InstàntiationException, OutOfMemoryError; 


// 分 配 一 个 数组 


public synchronized java.lang.Object newInstance(java.lang.class type) 
throws IllegalAccessException, InstantiationException, 
OutOfMemoryError; 


// 分 配 一 个 对 象 
Public long size(); // 存储 区 域 的 大 小 


使 用 这 个 抽象 类 ， 实 时 Java 定 义 了 各 种 类 型 的 存储 器 ， 包 括 如 下 的 : 


永久 存储 器 永久 存储 器 被 应 用 中 的 所 有 线程 共享 。 在 永久 存储 器 中 创建 的 对 象 不 会 受 


制 于 垃圾 回收 并 且 只 有 当 程 序 终止 时 才 会 被 释放 。 


public final class ImmortalMemory extends MemoryArea 
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{ 


public static ImmortalMemory instance(); 


) 
还 有 一 个 称 为 ImmortalPhysicalMemory 的 类 与 永久 存储 器 具有 相同 的 特征 ， 但 是 它 
使 对 象 能 够 在 一 个 物理 地 址 范围 内 分 配 。 

。 作 用 域 存 储 器 

作用 域 存储 器 是 可 以 分 配 有 明确 定义 生命 期 的 对 象 的 存储 区 域 。 作 用 域 存储 器 可 以 显 式 
进入 《通过 使 用 entez 方 法 ) 或 是 在 线程 创建 的 时 候 可 以 隐 式 地 附加 到 RealtimeTzhread。 
同 每 一 个 作用 域 存储 器 相关 联 的 是 一 个 引用 计数 ， 每 次 调用 enter 和 在 每 个 相关 的 线程 创建 
时 它 都 会 增加 。 当 enter 方 法 返回 和 每 个 相关 的 线程 退出 时 它 会 减少 。 当 引用 计数 到 0 时 ， 所 
有 和 驻 留 于 作用 域 存储 器 的 对 象 都 执行 它们 的 终了 化 方法 (finalization ) ， 然 后 存储 器 被 恢复 。 
通过 修 套 调用 enter 方 法 ， 作 用 域 存储 器 可 以 幅 套 。 

ScopedMemory 类 (在 程序 15-7 中 定义 ) 是 一 个 抽象 类 ， 它 包含 下 面 几 个 子 类 : 

。VTMemory 一 一 分 配 可 能 占用 的 时 间 不 定 ; 

“LITMemory 一 一 以 线性 时 间 分 配 (与 对 象 的 大 小 有 关 ) ; 

* ScopedPhysicalMemory 一 一 允许 对 象 在 物理 存储 位 置 分 配 。 


程序 15-7 实时 Java 的 类 ScopedMemory 


public abstract class ScopedMemory extends MemoryArea 
{ 


public ScopedMemory(long size); 

public void enter(java.lang.Runnable logic); 
public int getMaximumSize(); 

public MemoryArea getOuterScope(); 

public java.lang.Object getportal (); 


public void setPortal (java.lang.Object object); 
} 


这 些 子 类 的 定义 在 附录 A 中 给 出 。 

为 了 避免 可 能 发 生 的 悬挂 指针 ， 对 各 种 存储 区 域 的 使 用 设置 了 一 套 访问 限制 。 

* 堆 对 象 -一 只 可 以 引用 别 的 堆 对 象 和 在 永久 存储 器 中 的 对 象 (就 是 说 它 不 能 访问 作用 域 

存储 器 ) ; 

“永久 对 象 一 -只 可 以 引用 堆 对 象 和 永久 存储 器 对 象 ; 

。 作 用 域 对 象 一 一 只 可 以 引用 堆 对 象 、 永久 对 象 和 在 同一 个 作用 域 或 外 层 作用 域 的 对 象 。 

在 实时 线程 和 异步 事件 处 理 程序 创建 时 可 以 给 出 存储 器 参数 。 或 是 作为 允许 控制 策略 的 
一 部 分 ， 和 /或 是 为 了 确保 适当 的 垃圾 回收 的 目的 ， 调度 程序 可 以 使 用 存储 器 参数 。 程 序 15-8 
定义 了 这 个 类 。 





程序 15-8 实时 Java 的 类 MemoryParameters 


Public class MemoryParameters 


{ 
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public static final long NO_MAX; 


public MemoryParameters(long maxMemoryArea, long maxImmortal) 
' throws IllegalArgumentException; 


public MemoryParameters(long maxMemoryArea, long maxImmortal, 
long allocationRate) 
throws IllegalArgumentException; 


public long getAllocationRate(); 
public long getMaxImmortal(); 
public long getMaxMemoryArea(); 


public void setAllocationRate(long rate); 
public boolean setMaxImmortal(long maximum); 
public boolean setMaxMemoryArea(long maximum); 


) 
一 一 一 


例如 ， 考 虑 一 个 实时 线程 ， 它 希望 它 的 内 存 默认 地 是 从 永久 存储 器 分 配 的 。 然 而 ， 在 计 
算 的 某 些 部 分 ， 它 希望 创建 一 些 具 有 明确 定义 的 生命 期 的 临时 对 象 。 首 先 ， 定 义 线程 的 代码 。 
方法 computation 代 表 需 要 临时 存储 的 代码 部 分 。 它 创建 了 某 个 线性 时 间作 用 域 存储 器 指 
明 它 需要 的 最 小 和 最 大 大 小 。 然 后 它 定义 了 一 个 局 部 的 Runnable 以 包含 实际 的 计算 。 代码 
myMem. enter 限 制 了 存储 器 的 作用 域 。 


import javax.realtime.*; 
public class ThreadCode implements Runnable 


1 
private void computation() 
1 
final int min - 1*1024; 
final int max - 1*1024; 
final LTMemory myMem - new LTMemory(min, max); 
myMem.enter(new Runnable() 
{ 
public void run() 
{ 
// 此 处 的 代码 需要 访问 临时 存储 器 
} 
+)? 
} 


public void run() 
{ 
computation(); 


) 
现在 可 以 创建 线程 了 。 注意 ， 在 此 例 中 ， 除 存储 区 域 和 Runnable 之 外 ， 没 有 别 的 参数 。 


ThreadCode code = new ThreadCode(); 


RealtimeThread myThread = new RealtimeThread( 
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null, null, null, ImmortalMemory.instance(), 


null, code); 


15.9.2 REH 

TUE ERHE— FE. KARETA RMA BRT ES REM RADA Bi 
小 的 支持 (例如 ， 在 Ada 中 是 通过 将 Storage_size 属 性 应 用 到 任务 上 ; 在 POSIX 中 是 通过 
pthread 属 性 ), 但 计算 栈 的 大 小 却 更 困难 。 在 任务 进入 阻塞 和 执行 过 程 的 时 候 ， 它 们 的 栈 就 增 
长 。 为 了 精确 地 估计 这 个 增长 的 最 大 范围 ， 需 要 知道 每 个 任务 的 执行 行为 。 这 种 知识 类 似 于 
进行 最 坏 情况 执行 时 间 (WCET) 分 析 ( 见 13.7 节 ) 所 需 的 知识 。 因 此 ，WCET 和 最 坏 情 况 的 
栈 使 用 限制 都 可 以 从 执行 任务 代码 控制 流 分 析 的 单独 工具 中 得 到 。 


小 结 


伐 入 式 系 统 的 一 个 主要 特征 是 同 专用 输入 输出 设备 进行 交互 的 需求 。 为 了 用 高 级 语言 编 
制 设 备 驱 动 程序 ， 需 要 : 

。 将 数据 和 控制 信息 传递 到 设备 和 从 设备 中 传递 出 来 的 能 力 ; 

* 处 理 中 断 的 能 力 。 

通常 控制 和 数据 信息 是 通过 设备 寄存 器 传递 到 设备 上 。 这 些 寄 存 器 要 么 通过 存储 -上 映射 
式 IO 体系 结构 中 专门 的 地 址 ， 要 么 通过 专用 机 器 指令 访问 。 中 断 处 理 需 要 上 下 文 切换 、 设 备 
和 中 断 标识 、 中 断 控 制 和 设备 优先 级 。 

设备 编程 一 直 是 汇编 语言 程序 员 的 根据 地 ， 但 是 像 C、Modula-1、occam2 和 Ada 等 语言 逐 
步 地 尝试 对 这 些 低级 功能 提供 高 级 机 制 。 这 使 得 设备 驱动 程序 和 中 断 处 理 例 程 更 容易 阅读 、 
编写 和 维护 。 对 高 级 语言 的 主要 要 求 是 提供 设备 处 理 的 抽象 模型 。 封 装 功能 也 是 需要 的 ， 以 
使 程序 中 不 可 移植 的 代码 能 够 与 可 移植 的 部 分 分 开 。 

设备 处 理 的 模型 是 建立 在 语言 的 并 发 性 模型 上 的 。 设 备 可 以 认为 是 执行 固定 进程 的 处 理 
器 。 因 此 计算 机 系统 可 以 被 建 模 为 若干 个 需要 通信 和 同步 的 并 行进 程 。 中 断 的 建 模 有 几 种 方 
法 。 它 们 必须 有 : 

1) 寻 址 和 操纵 设备 寄存 器 的 设施 。 

2) 中 断 的 合适 表示 。 

在 设备 驱动 的 纯粹 共享 变量 模型 中 ， 驱 动 程序 和 设备 通信 使 用 共享 设备 寄存 器 ， 中 断 
提供 条 件 同 步 。Modula-1 给 程序 员 提供 了 这 样 的 模型 。 驱 动 程序 进程 被 封装 到 有 管 程 功能 
的 设备 模块 里 面 。 设 备 寄存 器 被 作为 标量 对 象 或 位 数组 访问 ， 中 断 被 看 作 是 条 件 变 量 上 的 
信和 号。 

在 Ada 中 ， 使 用 一 套 全 面 的 把 类 型 映射 到 底层 硬件 的 设施 ， 设 备 寄存 器 可 以 被 定义 为 标量 
和 用 户 定义 的 记录 类 型 。 中 断 被 看 作 是 对 保护 对 象 的 由 硬件 生成 的 过 程 调用 。 

只 有 eccam2 给 程序 员 展 现 了 设备 驱动 的 基于 消息 的 视图 。 设 备 寄 存 器 作为 专门 的 通道 被 
访问 ， 称 之 为 端口 ， 中 断 被 作为 无 内 容 的 消息 对 待 传送 给 通道 。 

实时 Java 支 持 通过 RawMemorycIlass 访 问 存储 -映射 式 1O 寄 存 器 ， 然 而 ， 它 缺乏 操纵 设 
备 寄存 器 的 表达 能 力 。 中 断 被 看 作 是 异步 事件 。 

低级 编程 也 涉及 管理 处 理 器 的 存储 资源 的 更 一 般 的 问题 。 这 一 章 考 虑 了 栈 和 堆 的 管理 
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Ada 不 要 求 垃圾 回收 一 一 存储 可 以 显 式 地 回收 ， 并 且 该 语言 的 作用 域 规则 使 得 在 访问 类 型 出 了 
作用 域 时 能 够 自动 回收 。Ada 也 人 允许 定义 用 户 定义 的 存储 池 ， 这 使 得 程序 员 可 以 定义 他 们 自己 
的 存储 管理 策略 。 
实时 Java 认 识 到 Java 的 存储 分 配 策 略 对 于 实时 系统 是 不 能 胜任 的 。 从 而 ， 它 允许 在 堆 外 分 
配 存储 器 ， 并 支持 作用 域 存储 器 的 概念 ， 这 样 就 能 自动 恢复 存储 ， 而 无 须 垃 圾 回收 。 626 
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(2000) The Real-Time Specification for Java. Reading, MA: Addison-Wesley. 
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练习 


15.1 考虑 一 台 嵌 入 到 病人 监护 系统 的 计算 机 (采用 本 章 给 出 的 简单 的 VO 系统 )}。 这 个 系统 的 
安排 是 : 每 次 病人 的 心脏 跳动 时 ， 都 通过 向 量 位 置 100 (八进制 ) 产生 一 个 最 高 硬件 优先 
级 中 断 。 另 外 ， 通 过 设备 控制 寄存 器 管理 轻 度 的 电击 ， 寄 存 器 的 地 址 是 177760 (八进制 )。 
此 寄存 器 的 设置 是 : 每 次 把 一 个 整 型 值 x 赋 给 这 个 寄存 器 的 时 候 ， 病 人 在 很 短 的 时 间 内 会 
收 到 x 伏 的 电压 。 

如 果 在 5 秒 的 周期 内 没有 心跳 的 记录 ， 病 人 的 生命 就 处 于 危险 中 。 当 病人 心跳 停止 时 必须 
采取 两 个 行动 : 第 一 ， 应 当 通 知 “ 监 护 者 ”任务 ， 使 之 响起 医院 警报 ， 第 二 就 是 必须 使 
用 一 次 5 伏 的 电击 。 如 果 病 人 没有 反应 ， 电压 必须 每 过 5 秒 就 增加 1 伏 。 

写 一 个 Ada 程 序 监视 病人 的 心跳 并 开始 上 面 描述 的 动作 。 你 可 以 假设 监护 者 任务 的 规格 说 
明 如 下 : 

task Supervisor is 


entry Sound Alarm; 


end Supervisor; 


152 西班牙 政府 正在 考虑 提出 使 用 汽车 高 速 公路 的 收费 问题 。 一 个 可 能 的 机 制 是 沿 着 所 有 汽 
车 高 速 公路 在 等 间隔 的 地 方 修建 监测 站 ， 当 车 辆 通过 监测 站 的 时 候 ， 记 录 它 的 详细 信息 ， 
并 记录 公路 费用 。 在 每 个 月 未 ， 向 车 主 发 送 他 或 她 的 汽车 高 速 公路 的 使 用 账单 。 

每 个 车 辆 需要 一 个 接口 设备 ， 当 监测 站 需要 它 的 详细 信息 时 ， 这 个 设备 中 断 一 个 单 板 计 

算 机 。 计 算 机 字 长 16 位 ， 有 存储 -映射 式 1HO， 所 有 IO 寄存 器 的 长 度 是 16 位 。 中 断 是 向 量 

化 的 ， 与 监测 站 关联 的 中 断 向 量 地 址 是 8#60#。 收 到 中 断后 ， 在 位 置 8#177760# 的 只 读 输 

人 寄存 器 包含 了 使 用 当前 汽车 高 速 公 路 路 程 的 基本 费用 (上 比 塞 塔 数 一 比 塞 塔 (peseta)， 
西班牙 币 名 )。 中 断 的 硬件 优先 级 是 4。 627 
计算 机 软件 必须 在 5 秒 内 响应 中 断 ， 然 后 通过 接口 设备 将 汽车 的 详细 信息 传送 到 监测 
后 于 地 址 在 841777624 的 5 个 控制 和 状态 寄存 器 玲 来 做 这 些 宴 。 这些 寄存 器 的 
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表 15-1 道路 收费 的 寄存 器 结构 





寄存 器 位 含 x 

1 0-7 车 辆 注册 特性 1 
1 8-15 车 辆 注册 特性 2 
2 0-7 车 辆 注册 特性 3 
2 8-15 车 辆 注册 特性 4 
3 0-7 车 辆 注册 特性 5 
3 8-15 车 辆 注册 特性 6 
4 0-7 车 辆 注册 特性 7 
4 8-15 车 辆 注册 特性 8 
5 0 置 1 以 传送 数据 
5 1-4 旅行 详细 情况 

1 = 商务 

2= 休 闲 

3 = 外 国旅 游 者 

4 = 警察 

5 = 军事 

6= 紧急 服务 
5 5-15 安全 码 (0-2047) 





CSR 寄 存 器 库 (bank) 是 只 写 的 。 
写 一 个 与 监测 站 对 接 的 Ada 任 务 。 这 个 任务 应 当 响 应 来 自 接口 设备 的 中 断 并 负责 发 送 正确 
的 车 辆 详细 信息 。 它 还 应 当 读 包括 公路 使 用 费用 的 数据 寄存 器 ， 然 后 将 当前 旅程 总 费用 
传送 到 一 个 任务 ， 这 个 任务 将 它 输出 到 在 汽车 仪表 上 的 可 见 显示 部 件 上 。 你 可 以 假设 有 
下 面 的 代码 可 用 : 
package Journey Details is 

Registration Number : constant String(1..8) := 


type Travel Details is 
(Business, Pleasure, Overseas Tourist, 
Police, Military, Emergency Service); 
for Travel Details use 
(Business =>1, Pleasure =>2, Overseas Tourist =>3, 
Police =>4, Military =>5, Emergency Service =>6); 


subtype Security Code is Integer range 0..2047; 
function Current Journey return Travel Details; 


function Code return Security Code; 
end Journey Details; 


package Display Interface is 


task Display Driver is 
entry Put cost(C ; Integer); 
-- 将 费用 显示 在 操纵 板 显示 器 上 


end Display Driver; 


end Display Interface; 
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假设 编译 器 表示 Character 类 型 为 8 位 值 ，Integer 类 型 为 16 位 值 。 

15.3 一 个 基于 时 槽 环 的 局 域 网 是 这 样 的 网 : 它 包 含有 一 些 时 权 ， 数 据 可 以 被 放置 在 其 中 进行 
传输 ， 这 些 时 槽 不 断 地 绕 着 环 转 。 考 虑 一 个 特定 的 环 ， 它 只 有 一 个 时 模 ， 称 之 为 分 组 
(packet)， 有 40 位 宽 。 分 组 的 结构 如 图 15-3 所 示 。 


35 27 19 3 10 
d se | [o 00m | 
响应 


监控 位 
M/s 校 验 





图 15-3 时 槽 环 


第 39 位 指明 分 组 的 开始 ， 通 常 被 设置 为 1。 第 36 位 指明 分 组 是 满 的 或 是 空 的 (就 是 说 ， 时 
槽 是否 正在 使 用 ) ， 第 27 到 34 位 用 于 指明 数据 的 目的 地 址 ， 第 19 到 26 位 用 于 保存 数据 的 源 
地 址 ， 第 3 到 18 位 用 于 存放 要 发 送 的 数据 ， 第 0 位 是 校 验 位 ， 在 这 个 问题 中 可 以 被 忽略 。 
响应 位 (第 1 到 2 位 ) 和 监控 位 (第 35 位 ) 在 下 面 说 明 。 

一 个 导 找 空 分 组 的 传送 过 程 将 置 分 组 的 满 /空位 为 1， 将 响应 位 清除 为 0， 设 置 目的 和 源 地 
址 ， 放 置 要 传送 的 数据 。 分 组 绕 着 环 转 ， 环 上 的 每 个 站 点 都 检查 这 个 分 组 ， 以 查看 它 是 
否 是 分 组 的 目的 地 址 。 如 果 是 ， 它 就 将 数据 从 分 组 中 拷贝 出 来 ， 然 后 设置 响应 位 ( 设 为 
二 进 制 的 11) 指明 数据 已 经 收 到 。 最 初 的 发 送 方 检查 响应 位 ， 然 后 通过 设置 满 /空位 为 0 移 
开 数 据 ， 从 而 指明 分 组 是 空 的 。 然 后 空 分 组 被 发 送 。 如 果 发 送 方 希望 发 送 另 外 一 条 消息 
它 必 须 等 到 它 重 新 收 到 一 个 空 的 分 组 ， 这 防止 一 个 发 送 者 独占 这 个 环 。 

虽然 这 个 环 的 出 错 率 很 低 ， 但 是 在 分 组 中 的 数据 可 能 被 破坏 。 特 别 是 ， 发 送 方 地 址 可 能 
被 破坏 。 为 了 避免 相同 的 一 个 满分 组 不 停 地 绕 着 环 转 的 可 能 性 ， 引 入 一 个 监控 站 。 这 个 
监控 站 读 每 个 分 组 并 置 监控 位 为 1。 当 发 送 站 发 送 了 一 个 分 组 时 就 将 监控 位 置 为 0。 因 此 
如 果 监 控 站 读 到 一 个 分 组 是 空 的 ， 并 且 监 控 位 被 置 为 1， 那 么 这 个 分 组 总 是 绕 着 环 转 ， 因 
此 地 址 一 定 被 破坏 了 。 如 果 这 个 错误 状态 发 生 了 ， 满 /空位 应 该 被 设 为 0 以 指明 分 组 可 以 被 
重用 。 站 和 环 的 接口 由 4 个 16 位 的 存储 映射 寄存 器 控制 。 第 一 个 寄存 器 是 控制 和 状态 寄存 
器 ， 它 常 驻 于 八进制 位 置 177760。 这 个 寄存 器 的 结构 如 表 15-2 所 示 。 


表 15-2 时 术 环 的 控制 寄存 器 结构 


CC 
位 & XX 
eee 
0 校 验 位 
1，2 响应 位 
3 监控 位 
4 满 / 空 位 
6 人 允许 中 断 
10 传送 分 组 


第 二 和 第 三 个 寄存 器 是 源 和 目的 地 址 寄存 器 ， 分 别 常 驻 于 八进制 地 址 177762 和 177764。 
它们 的 结构 如 表 15-3 所 示 。 


a 
© 
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表 15-3 ”时 槽 环 的 地 址 寄存 器 结构 





位 & xXx 
0-7 地 址 
8-15 未 用 





最 后 一 个 寄存 器 是 数据 寄存 器 ， 它 常 驻 于 八进制 地 址 177766。 所 有 四 个 寄存 器 都 可 以 读 和 写 。 
当 分 组 到 达 时 会 有 一 个 中 断 信 号 。 中 断 在 八进制 地 址 60 向 量化 ， 中 断 优先 级 是 6。 在 中 断 
时 ， 控 制 和 状态 寄存 器 将 指明 满 /空位 、 监 控 位 、 响 应 位 和 校 验 位 的 值 。 通 过 写 控制 和 状 
态 寄存 器 可 以 改变 这 些 位 的 值 。 如 果 第 10 位 被 中 断 处 理 进程 置 1， 分 组 就 被 发 送 。 数 据 的 
内 容 、 源 和 目的 地 址 可 以 被 类 似 地 读 和 更 改 。 
写 一 个 Ada 包 通过 一 个 分 槽 环 发 送 和 接收 整 型 值 。 包 的 规格 说 明 给 出 如 下 : 
package Slotted_Ring Driver is 

type Station_Id is private; 

Stationl : constant Station Id; 

Station2 : constant Station Id; 


Station3 : constant Station Id; 
Station4 : constant Station Id; 


-~ 等 等 
procedure Transmit (To Station : Station Id; 
Data : Integer); 


procedure Receive (From Station : out Station Id; 
Data : out Integer); 


private 
type Station Id is new Short Integer; -- 16 位 
Stationl : constant Station Id := 1; 
Station2 : constant Station Id :- 2; 
-- 等 等 


end Slotted Ring Driver; 
你 可 以 假设 如 果 当 分 组 返回 到 发 送 方 时 分 组 的 响应 位 被 设 为 0， 那 么 数据 没有 被 收 到 。 然 
而 ， 不 需要 重 试 一 一 数据 被 丢弃 。 
你 也 可 以 忽视 奇偶 校 验 ， 并 假设 “ 短 整 型 ”占据 了 16 位 存储 器 。 
15.4 用 occam2、 Meodula-1 和 实时 Java 重 写 练习 15-2 的 答案 。 
15.5 考虑 一 个 简单 的 机 器 人 手臂 ， 它 与 一 个 有 简单 IO 系统 的 计算 机 相连 接 ， 它 只 可 以 沿 着 水 
平 轴 移 动 。 这 个 设备 由 两 个 寄存 器 控制 : 一 个 位 于 八进制 位 置 177234 的 数据 寄存 器 和 一 
个 位 于 八进制 位 置 177326 的 控制 寄存 器 。 当 设备 处 于 允许 操作 状态 时 (通过 设置 控制 寄 
存 器 的 第 6 位 )， 把 一 个 坐标 放 入 数据 寄存 器 ， 机 器 人 的 手臂 就 移 向 那个 坐标 ， 当 手 警 到 
达 新 位 置 上 时 ， 产 生 一 个 中 断 (通过 八进制 位 置 56， 硬 件 优先 级 为 4)。 
定义 一 个 Modula-1 设 备 模块 以 便 一 个 Modula-1 进 程 通过 调用 由 设备 模块 定义 的 例 程 
MOVETOPOSITION 将 手 殴 移动 到 特定 的 位 置 ， 使 用 一 个 参数 指定 要 求 的 位 置 。 当 手 避 位 
于 新 的 位 置 时 这 个 过 程 必须 返回 。 你 可 以 假设 每 次 只 有 一 个 进程 调用 MOVETOPOSITION， 
15.6 设计 一 个 Modula-1 设 备 模块 ， 使 得 一 个 调用 的 进程 能 够 被 延迟 几 个 时 钟 滴答 。 调 用 进程 
应 该 通过 一 个 称 为 DELAY 的 过 程 与 设备 模块 交互 ， 这 个 过 程 有 一 个 整 型 参数 指明 延迟 持 
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续 的 滴答 数 。 当 延迟 时 间 到 期 时 过 程 返回 。 你 可 以 假设 时 钟 设备 的 优先 级 是 6， 中 断 向 量 
位 置 在 八进制 位 置 100 处 ， 控 制 和 状态 寄存 器 在 八进制 地 址 177546， 长 度 是 16 位 。 这 个 寄 
存 器 的 第 6 位 置 1 后 允许 中 断 。 

15.7 用 occam2 重 写 在 15.3.3 节 中 给 出 的 键盘 设备 驱动 程序 。 

15.8 比较 和 对 照 Ada 和 Modula-1 在 设备 驱动 程序 编程 上 的 限制 。 

15.9 英国 政府 关注 汽车 高 速 公路 上 汽车 的 速度 。 今 后 将 沿 着 汽车 高 速 公路 在 等 间隔 的 地 方 修 
建 信 标 ， 它 们 将 不 断 地 发 送 当 前 速度 限制 。 新 式 的 汽车 将 带 有 计算 机 ， 它 可 以 监测 当前 
速度 限制 并 在 超出 速度 限制 时 通知 驾驶 员 。 

现在 正 设计 的 汽车 (Yorkmobile) 已 经 有 了 必需 的 硬件 接口 。 这 些 接口 如 下 : 

。 每 辆 汽车 有 一 个 具有 存储 - 映射 式 HO 的 “速度 控制 ”的 16 位 计算 机 ， 所 有 的 IO 寄 
存 器 都 是 16 位 长 的 。 

* 一 个 位 于 八进制 地 址 177760 的 寄存 器 与 监测 公路 边 信 标 的 设备 接口 。 寄 存 器 总 是 保 
存 着 从 路 边 信 标 收 到 的 最 新 速度 限制 的 值 。 ' 

“一 对 寄存 器 与 一 个 根据 一 套 限制 来 检测 汽车 速度 的 智能 速度 计 设 备 接 口 。 如 果 速 度 
限制 被 超过 了 ， 设 备 通过 八进制 地 址 60 产 生 一 个 中 断 。 这 个 中 断 的 优先 级 为 5。 这 
个 中 断 每 5 秒 重复 一 次 直到 汽车 不 再 超速 。 

“这 对 寄存 器 由 一 个 “控制 和 状态 ”寄存 器 (CSR) 和 一 个 数据 缓冲 寄存 器 (DBR) 
组 成 。CSR 寄 存 器 的 结构 如 表 15-4 所 示 。 


表 15-4 控制 寄存 器 结构 速度 计算 机 


位 È X 
uu uu. 
0 设备 允许 操作 
1 置 为 1 时 ， 将 DBR 中 发 现 的 值 用 作 汽车 的 当前 
速度 限制 
5-2 RH 
6 允许 中 断 
11-7 未 用 
15-12 出 错位 (0= 无 出 错 ，> 0 非法 限制 值 ) 


CSR 寄 存 器 既 可 以 读 又 可 以 写 ， 位 于 八进制 地 址 177762。DBR 寄 存 器 只 保存 设置 的 
表示 汽车 速度 限制 的 整 型 值 。 如 果 这 个 值 超出 了 0 ~ 70 的 范围 ， 就 规定 了 一 个 非法 的 限制 ， 
然后 设备 使 用 当前 的 限制 继续 工作 。DBR 寄 存 器 的 地 址 是 八进制 177764。 

“一 个 内 光 灯 (在 汽车 仪表 板 上 ) 可 以 通过 设置 位 于 八进制 地 址 177750 的 寄存 器 值 为 

1 打开 ， 这 个 灯 只 闪烁 5 秒 。 当 设置 为 0 时 灯 关 闭 。 

设计 一 个 实现 下 列 速度 控制 算法 的 occam2 设 备 驱 动 程序 。 

每 60 秒 通过 速度 控制 计算 机 从 路 边 的 信 标 中 读 当前 的 速度 限制 。 这 个 值 不 加 检测 地 
被 传送 到 速度 计 设 备 ， 如 果 汽 车 超出 了 速度 限制 或 是 速度 限制 是 不 合法 的 ， 速 度 计 设备 
就 产生 中 断 。 如 果 汽 车 速度 超出 了 限制 ， 仪 表 板 上 的 灯 将 闪烁 起 来 ， 直到 汽车 的 速度 回 
到 当前 的 限制 以 内 。 

15.10 使 用 Modula-1、 Ada 和 实时 Java 重 做 练习 15.9。 
15.11 比较 和 对 照 Modula-1 的 设备 驱动 的 共享 存储 模型 和 occam2 的 消息 发 送 模型 ， 








第 16 章 执行 环境 


16.1 执行 环境 的 作用 小 结 

16.2 剪裁 执行 环境 相关 阅读 材料 
16.3 调度 模型 练习 

16.4 硬件 支持 


实时 系统 必须 对 周围 环境 发 生 的 事件 做 出 及 时 的 响应 ， 这 是 它们 的 本 性 。 这 导致 形成 了 
以 下 观点 : 实时 系统 必须 尽 可 能 地 快 ， 由 语言 或 操作 系统 中 那些 支持 高 级 别 抽象 (如 管 程 、 
异常 、 原 子 动作 等 ) 的 特性 所 引入 的 任何 开销 都 是 不 能 容忍 的 。 术 语 “效率 ”通常 用 于 描述 
编译 器 生成 的 代码 的 质量 或 者 操作 系统 或 运行 时 支持 系统 所 支持 的 机 制 提 供 的 抽象 级 别 。 但 
是 这 个 术语 并 没有 良好 的 定义 。 而 且 ， 从 许多 方面 来 看 ， 用 效率 来 评价 一 个 应 用 和 它 的 实现 
都 是 一 个 拙劣 的 度量 标准 。 在 实时 系统 中 ， 真 正 重要 的 是 满足 时 限 或 在 一 个 特定 的 执行 环境 
中 得 到 能 满足 需要 的 响应 时 间 。 本 章 将 考虑 同 实现 这 个 目标 相关 联 的 一 些 问题 。 首 先 将 考虑 
执行 环境 对 实时 系统 的 设计 和 实现 的 影响 。 接 着 将 讨论 剪裁 软件 执行 环境 以 满足 应 用 需要 的 
方法 。 然 后 ， 从 促进 应 用 的 全 面 可 调度 性 分 析 的 角度 评述 内 核 的 调度 模型 。 最 后 将 说 明 执 行 
环境 中 的 硬件 是 如 何 支持 本 书 中 提出 的 一 些 抽象 的 。 


16.1 执行 环境 的 作用 


e 

在 第 13 章 ， 将 可 调度 性 分 析 作 为 预测 软件 的 实时 属性 的 根本 点 。 但 是 ， 除 非 知道 建议 的 
执行 环境 的 细节 ， 否 则 进行 这 种 分 析 是 困难 的 。 术 语 “ 执 行 环境 ”是 指 同 应 用 代码 一 起 使 用 
构成 完整 系统 的 那些 部 件 : 处 理 器 、 网 络 、 操 作 系统 等 。 建 议 的 执行 环境 的 特性 将 指出 一 个 
特定 的 设计 是 否 满足 它 的 实时 需求 。 显 然 ， 执 行 环境 的 使 用 越 是 “高 效 " ， 就 越 有 可 能 满足 需 
求 。 但 不 总 是 这 种 情况 ， 一 个 抽 劣 的 结构 设计 ， 不 管 它 如 何 高 效 地 实现 ， 它 都 不 能 满足 它 的 
需求 。 例 如 ， 一 个 有 明显 优先 级 反 转 的 设计 ， 不 管 如 何 高 效 地 实现 它 ， 都 不 能 满足 可 达到 时 
限 一 一 就 像 在 火星 探险 者 任务 例子 中 一 样 (Jones, 1997; Reeves, 1997), 

设计 过 程 可 以 看 作 是 逐步 明确 的 规约 和 职责 的 发 展 过 程 。 这 些 规约 定义 了 系统 设计 的 特 
Wk. 设计 者 在 更 详细 的 层次 上 操纵 这 些 特性 ， 而 不 能 随意 改变 它们 。 在 设计 的 层次 体系 中 某 
个 特定 层次 上 没有 给 出 规约 的 那些 设计 方面 ， 则 是 更 低 县 设计 必须 承担 的 职责 的 内 容 。 

对 设计 的 求 精 过 程 也 就 是 将 职责 转换 成 规约 的 过 程 一 一 常常 要 服从 主要 由 执行 环境 所 
施加 的 约束 。 执 行 环境 的 选择 和 如 何 使 用 它 可 能 也 是 受 约束 的 。 例 如 ， 可 能 有 一 个 需求 规定 
要 使 用 一 个 空间 大 小 已 经 限 死 的 处 理 器 ， 或 者 ， 可 能 有 一 个 认证 需求 规定 处 理 器 (或 网 络 ) 
的 容量 不 得 超过 50% 。 

许多 设计 方法 将 逻辑 设计 同 物理 设计 区 分 开 来 。 逻 辑 设计 关注 满足 应 用 的 功能 需求 ， 它 
假设 有 一 个 足够 快速 的 执行 环境 。 而 物理 体系 结构 是 将 功能 和 建议 的 执行 环境 相 结 合 以 产生 
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一 个 完整 的 软件 和 硬件 体系 结构 设计 。 

物理 体系 结构 形成 了 进行 下 述 断 言 的 基础 : 一 旦 进行 了 详细 设计 和 实现 ， 所 有 的 应 用 需 
求 就 得 到 满足 。 它 进行 时 间 性 (其 至 是 可 依赖 性 ) 分 析 ， 这 种 分 析 将 确保 (保证 ) 系统 一 旦 
建立 起 来 ， 就 (在 某 些 明确 陈述 的 失效 假设 范围 内 ) 满足 实时 需求 。 为 了 进行 这 种 分 析 ， 必 
须 对 系统 (硬件 和 软件 ) 的 某 些 资 源 的 使 用 进行 初步 评估 。 例 如 ， 可 以 对 应 用 的 时 间 特 性 进 
行 初步 评估 ， 然 后 进行 可 调度 性 分 析 以 确信 一 旦 最 终 系统 实现 的 时 候 ， 时 限 将 能 得 到 满足 。 

物理 体系 结构 设计 的 关注 重点 是 将 功能 体系 结构 映射 到 执行 环境 提供 的 设施 上 。 在 这 个 活 
动 过 程 中 , 必须 解决 所 有 功能 体系 结构 所 做 的 假设 和 执行 环境 所 提供 的 设施 之 间 的 不 匹配 问题 。 
例如 ， 功 能 体系 结构 可 能 假设 所 有 功能 在 所 有 其 他 功能 中 是 立即 可 得 到 的 。 当 将 功能 映射 到 物 
理 体系 结构 中 的 处 理 器 上 时 ， 基 础 设施 可 能 没有 提供 直接 的 通信 路 径 ， 所 以 ， 这 就 必须 补充 额 
外 的 应 用 级 路 由 功能 。 而 且 ， 基 础 设施 可 能 只 支持 低级 消息 传递 ， 而 功能 可 能 使 用 过 程 调用 来 
通信 ， 所 以 ， 它 必须 提供 一 个 应 用 级 的 RPC 设 施 。 显 然 ， 在 产生 物理 体系 结构 的 过 程 中 ， 在 完 
美 复杂 的 执行 环境 和 在 功能 体系 结构 中 增加 额外 的 应 用 设施 之 间 有 一 个 权衡 。 然 而 ， 如 果 应 用 
不 需要 ， 执 行 环境 就 不 要 提供 复杂 完美 的 机 制 ， 这 一 点 很 重要 ， 或 者 更 粳 的 情况 是 ， 应 用 只 需 
要 比较 原始 的 设施 ， 却 一 定 要 试图 用 高 级 设施 去 构造 它们 。 这 通常 被 称 为 抽象 反 转 。 

一 旦 完成 了 初步 的 体系 结构 设计 ， 详 细 设 计 就 能 认真 地 开始 ， 应 用 的 所 有 构件 就 产生 了 。 


当 实 现 了 这 一 点 的 时 候 ， 必 须 使 用 工具 来 分 析 这 些 移 件 ， 以 测量 应 用 的 特征 诸如 它 的 最 坏 情况 


执行 时 间 (或 者 它 的 复杂 性 ， 如 果 考 虑 可 依赖 性 的 话 )， 去 证 实 估计 的 最 坏 情 况 执 行 时 间 是 否 准 
确 ， 或 者 由 于 某 个 模块 是 复杂 的 ， 因 此 软件 易于 出 错 ， 这 导致 需要 设计 的 多 样 性 。 如 果 这 些 佑 
计 是 不 准确 的 (对 一 个 新 应 用 ， 这 是 经 常 发 生 的 情况 )， 那 么 要 么 修改 详细 设计 (如 果 偏 差 小 )， 
要 么 设计 者 必须 回 到 体系 结构 设计 (如 果 存 在 严重 问题 )。 如 果 估计 是 好 的 ， 那 么 就 进行 应 用 的 
测试 。 这 应 当 包 括 代码 实际 执行 时 间 的 测量 ， 发 现 的 bug 数 等 。 图 16-1 说 明了 这 个 过 程 (这 实际 
上 是 第 2 章 介绍 的 HRTHOOD 设 计 方法 支持 的 生命 周期 ,* 第 17 章 给 出 的 案例 研究 使 用 了 它 )。 
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因此 ， 重 要 的 不 是 已 编译 代码 的 效率 或 操作 系统 开销 ， 而 是 应 该 在 生命 周期 中 尽 可 能 早 
地 进行 时 间 性 分 析 。 当 然 ， 使 用 一 个 粗 劣 低 效 的 编译 器 是 明显 不 合适 的 ， 这 种 低 效 必 将 导致 
一 个 低劣 设计 的 产品 。 


16.2 前 裁 执行 环境 


现代 操作 系统 和 同 像 Ada 这 样 的 语言 相关 联 的 运行 时 支持 系统 在 功能 上 是 齐 平 的 ， 因 为 它 
们 试图 尽 可 能 通用 。 显 然 ， 如 果 一 个 特定 应 用 没有 使 用 操作 系统 的 某 些 特性 ， 那 么 这 有 利于 
定制 它 运行 时 的 形态 。 这 个 能 力 是 很 重要 的 ， 理 由 有 三 : 
1) 它 避 免 了 不 必要 的 资源 使 用 ， 即 处 理 器 时 间或 存储 器 ; 
2) 它 降低 了 需要 验证 其 正确 性 的 软件 量 ; 
3) 许多 开发 标准 要 求 清 除 “ 死 代码 '。 
本 节 将 考虑 Ada 和 POSIX 提 供 的 辅助 这 个 活动 的 设施 。 通 常 实时 Java 不 支持 可 选 部 件 ， 因 
为 这 违背 了 一 次 编写 、 到 处 运行 的 原则 。 但 是 ， 它 也 接受 某 些 部 件 无 法 实现 这 种 现实 ， 如 果 
底层 支持 系统 没有 提供 这 样 的 功能 的 话 。 最 明显 的 情况 是 与 POSIX 的 信和 号 接口 的 类 。 
16.2.1 Ada 中 的 受 限 任务 | 
Ada 的 实时 系统 附件 允许 程序 员 规 定 一 组 限制 ， 运 行 时 系统 应 该 能 识别 出 这 些 限制 ， 并 通 
过 更 有 效 的 支持 来 “酬劳 ”它们 。 以 下 是 通过 编 用 给 出 限制 的 例子 ， 这 些 限制 在 运行 前 检查 
和 执行 。 
“No_Task_Hierarchy 一 一 这 显著 简化 了 对 任务 终止 所 需 的 支持 。 
“NoO_Abort_sStatement 一 一 这 将 影响 运行 时 支持 系统 的 所 有 方面 ， 因 为 不 用 担心 任务 
在 会 合 时 、 在 保护 操作 中 、 异 常 传播 时 、 等 待 子 任务 终止 时 被 中 止 。 
再 次 简化 对 任务 终止 所 需 的 支持 。 
*No Task Allocators 一 一 允许 将 运行 时 系统 配置 为 有 静态 数目 的 任务 ， 消 除 对 动态 
存储 分 配 的 需要 。 
*No_Dynamic_Priorities 
不 会 动态 改变 (除了 使 用 高 限 优 先 级 )。 
"No_Asynchronous_Contro1 一 一 这 将 影响 运行 时 支持 系统 的 所 有 方面 ， 因 为 不 用 担 
心 任务 在 会 合 时 、 在 保护 操作 中 、 异 常 传播 时 、 等 待 子 任务 终止 时 收 到 异步 事件 。 
“Max_Select_Alternatives 一 一 允许 使 用 静态 数据 结构 ， 消除 了 对 动态 存储 分 配 的 需要 。 
“Max_Task_Entries 一 再 次 允许 使 用 静态 数据 结构 ， 消 除了 对 动态 存储 分 配 的 需要 。 
0 值 表示 没有 会 合 。 
“Max_Protected_Bntries 一 一 再 次 允许 使 用 静态 数据 结构 ， 消除 了 对 动态 存储 分 配 
的 需要 。0 表 示 对 保护 对 象 不 允许 条 件 同 步 。 
“Max_Tasks 一 一 指定 最 大 任务 数 ， 因此 允许 运行 时 提供 固定 数目 的 静态 支持 结构 。 
注意 ，Ada 的 安全 和 保密 附件 将 以 上 所 有 限制 设 为 0 (就 是 没有 任务 了 ! )。 它 也 引入 了 一 
个 进一步 的 限制 ， 那 就 是 不 允许 保护 类 型 和 对 象 。 在 安全 至 上 应 用 领域 ， 当 前 的 做 法 禁止 使 
用 任务 和 中 断 。 这 是 令 人 遗憾 的 ， 因为 能 够 为 任务 设施 定义 一 个 既是 可 预测 的 又 是 服从 分 析 
的 子 集 。 还 可 能 规定 运行 时 系统 使 之 能 够 按 高 级 别 的 完整 性 得 以 实现 ， 
玉 来 十 年 Ada 技 术 人 员 面 临 的 挑战 之 一 是 证 明 并 发 程序 设计 是 一 个 有 效 的 和 安全 的 技术 ， 
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甚至 是 对 最 苛刻 的 的 需求 也 是 这 样 。 为 了 这 个 目标 ,第 8 届 国 际 实时 Ada 学 术 讨 论 会 (Burns， 
1999) 定义 了 一 .个 任务 剖面 (就 是 Ravenscar 剖 面 ) 用 于 高 完整 性 或 性 能 敏感 的 应 用 。 在 
Ravenscar 剖 面 中 ， 禁 止 使 用 以 下 特性 : 

。 任务 类 型 和 对 象 声 明 ， 除 了 在 库 级 别 外 。 因 此 没有 任务 类 型 的 层次 结构 。 

。 保 护 对 象 和 任务 对 象 的 不 加 检查 的 回收 (所 以 还 有 终了 化 )。 可 以 允许 这 种 对 象 的 动态 

分 配 ， 但 是 只 是 在 高 完整 性 语言 剖面 的 顺序 部 分 允许 动态 分 配 其 他 对 象 的 时 候 。 

。 重 排队 。 

。ATC (通过 select then abort 语 句 实现 的 异步 控制 转移 )。 

* 中 止 语句 。 

* 任务 人 口 。 

。 动 态 优先 级 。 

Calendar., 

。 相 对 延迟 。 

。 保 护 类 型 ， 除 了 在 库 级 别 外 。 

。 多 入 口 的 保护 类 型 。 

。 带 屏障 的 保护 人 口 ， 在 同一 保护 类 型 内 声明 单个 布尔 变量 除外 。 

。 试 图 在 单个 的 保护 入 口上 排队 多 个 任务 。 

-KRT IRA (Ceiling locking) 之 外 的 上 锁 策 略 。 

。 除 了 优先 级 内 的 FIFO 之 外 的 调度 策略 。 

。 所 有 形式 的 选择 语句 。 

。 用 户 定义 的 任务 属性 。 . 

除了 这 些 限制 ， 实 现 可 以 假设 没有 任何 程序 任务 会 终止 。 注 意 ， 这 些 约束 的 大 多 数 ， 但 
不 是 所 有 ， 都 能 用 编 用 Restrictions 定 义 。 甚 至 在 这 些 限制 下 ， 遵 守 Ravenscar 剖面 的 应 
用 仍然 可 以 有 : 

。 任务 对 象 ， 限 制 如 上 所 述 。 

“保护 对 象 ， 限 制 如 上 所 述 。 

。 挂 起 对 象 。 

* 原子 编 用 的 和 短暂 (volatile) 编 用 。 

* "Delay until” 语 句 。 

。 高 限 上 锁 策 略 和 优先 级 内 的 FIFO 分 派 。 

* 属性 Count (但 不 能 在 入 口 屏障 内 )。 

。 任 务 标识 符 。 

* 任务 判别 式 。 

*Real Time 包 。 

。 作 为 中 断 处 理 程序 的 保护 过 程 。 

只 有 子 程序 接口 的 保护 类 型 可 以 实现 简单 的 互 斥 。 一 种 特定 形式 的 保护 入 口 ( 也 就 是 ， 
每 个 保护 对 象 只 有 一 个 入 口 ， 并 且 那 个 人 口 最 多 只 有 一 个 调用 者 ) 可 用 于 事件 发 信号 机 制 ， 
它 能 够 支持 偶发 和 非 周期 任务 。 

除了 以 上 描述 的 特征 ， 实 时 系统 附件 定义 了 许多 的 实现 需求 、 文档 需求 和 度量 。 使 用 这 
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些 度量 可 以 得 到 运行 时 系统 (在 处 理 器 周期 内 的 ) 的 开销 。 它 们 也 能 指示 哪个 原 语 可 能 导致 
阻塞 ， 哪 个 一 定 不 会 。 

精确 定义 了 时 间 性 特征 〈 即 实时 时 钟 和 延迟 原 语 )。 例 如 ， 可 以 知道 一 个 任务 延 时 期 满 和 
它 被 放 入 运行 队列 之 间 的 最 长 时 间 。 在 执行 环境 上 下 文中 的 应 用 的 分 析 需 要 所 有 这 些 信息 。 
16.2.2 POSIX 


POSIX 由 各 种 标准 组 成 。 有 基本 标准 、 实 时 扩展 、 线 程 扩展 等 。 如 果 是 在 单个 系统 上 实 
现 ， 它 将 包含 大 量 软件 。 为 了 帮助 生成 更 紧凑 的 、 符 合 POSIX 规 格 说 明 的 操作 系统 版 本 ， 建 
立 了 一 套 应 用 环境 剖面 (profile ) ， 定 义 剖 面 的 想法 是 具体 实现 者 可 以 支持 一 个 或 多 个 剖面 。 
对 于 实时 系统 ， 已 经 定义 了 四 个 剖面 : 

“PSE50 一 一 最 小 实时 系统 剖面 一 一 用 于 小 型 单 /多 处 理 器 嵌入 式 系 统 ， 以 控制 一 个 或 多 个 

外 部 设备 ， 不 需要 操作 员 交 互 ， 没 有 文件 系统 。 只 支持 单个 的 多 线程 进程 。 

“PSE51 一 一 实时 控制 系统 剖面 一 一 对 PSE50 的 扩充 ， 用 于 多 处 理 器 ， 囊 文件 系统 接口 和 异 

#10. 

*PSE52 一 一 专门 用 于 实时 系统 的 剖面 一 一 对 PSE50 的 扩充 ， 用 于 带 存储 管理 单元 的 单 或 多 

处 理 器 系统 ， 包 含 多 个 多 线程 进程 ， 但 没有 文件 系统 。 

“PSE53 一 一 通用 实时 系统 剖面 一 一 有 混合 运行 实时 和 非 实时 进程 的 能 力 ， 运 行 在 单 /多 处 

理 器 系统 上 ， 带 有 存储 管理 单元 、 海 量 存储 设备 、 网 络 等 。 

表 16-1 说 明了 由 PSE50、PSE51、PSE52 提 供 的 功能 类 型 。 


表 16-1 POSIX 实时 前 面 功能 





功 能 PSE50 PSE51 PSE52 
pthreads v v v 
分 及 x x 

信号 量 v v v 
EN v v v 
消息 传递 v v v 
信和 号 v v v 
定时 器 v v v 
同步 WO v v v 
异步 IO x v Vv 
优先 级 调度 v v v 
共享 存储 对 象 v v v 
文件 系统 x v x 


通常 ， 一 个 POSIX 系 统 可 以 不 支持 任何 它 选 择 的 可 选 功能 单元 ， 所 以 可 以 更 精细 地 控制 
要 支持 的 功能 。 所 有 实时 和 线程 扩展 都 是 可 选 的。 但 是 ， 遵 守 这些 剖 面 中 的 一 个 意味 着 必须 
支持 所 有 必要 的 功能 单元 。 


16.3 调度 模型 
执行 环境 对 应 用 的 时 间 特 性 有 明显 的 影响 。 在 有 软件 内 核 的 地 方 ， 在 对 应 用 进行 可 调度 
性 分 析 时 ， 必 须 考 虑 内 核 引起 的 开销 。 以 下 是 许多 实时 软件 内 核 的 典型 特征 : 
“进程 之 间 上 下 文 切换 的 开销 是 不 可 忽略 的 ， 而 且 可 能 不 是 一 个 单个 的 值 。 切 换 到 更 高 优 
先 级 周期 进程 (如 时 钟 中 断 ) 的 开销 可 能 高 于 切换 到 更 低 优先 级 进程 (在 高 优先 级 进程 
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运行 的 末尾 ) 的 开销 。 对 于 有 大 量 周 期 进程 的 系统 来 说 ， 有 一 个 额外 的 开销 用 于 操纵 延 
时 队列 《对 于 周期 任务 ， 当 它们 执行 时 ， 是 一 个 Ada 的 delay until 语 句 )。 


“所 有 上 下 文 切换 操作 是 非 抢占 的 。 
“处 理 中 断 的 开销 (除了 时 钟 中 断 》 和 启动 一 个 应 用 偶发 进程 的 开销 并 非 是 不 显著 的 。 此 


外 ， 对 于 DMA 和 通道 程序 控制 设备 ， 共 享 存储 访问 的 影响 可 能 对 最 坏 情况 性 能 有 并 非 

轻微 的 影响 ， 这 样 的 设备 最 好 避免 在 硬 实时 系统 中 使 用 。 

“时 钟 中 断 〈 例 如 ， 每 10ms) 可 能 导致 将 周期 进程 从 延迟 队列 移动 到 分 派 队列 。 这 个 操 

作 的 开销 因 要 移动 的 进程 的 数量 不 同 而 异 。 

除了 以 上 这 些 ， 可 调度 性 分 析 必 须 考虑 底层 硬件 的 特性 一 一 例如 高 速 缓 在 和 管道 的 影响 。 

16.3.1 非 微小 的 上 下 文 切换 时 间 的 建 模 

大 多 数 调 度 模型 忽略 上 下 文 切 换 时 间 。 但 是 ， 当 上 下 文 切换 的 总 开销 同 应 用 代码 的 开销 
OH) 相 比 不 再 是 微不足道 的 时 候 ， 这 种 方法 就 过 于 简单 了 。 图 16-2 说 明了 在 一 个 典型 的 周期 进程 
99| 执行 中 发 生 的 一 些 重要 事件 。 


my 
C D 


A B E A’ 





图 16-2 执行 进程 时 的 开销 


A 一 一 指定 进程 应 当 在 某 个 预想 时 间 启 动 的 时 钟 中 断 (假设 没有 启动 拌 动 和 非 抢 占 延迟 ， 
如 果 由 于 上 下 文 切 换 导 致 禁止 这 些 中 断 ， 那 么 时 钟 中 断 处 理 将 延迟 执行 ， 在 调度 公式 中 ， 通 
过 阻塞 因子 8 表示 考虑 了 这 一 点 )。 

B- 一 时 钟 中 断 处 理 程序 可 以 完成 的 最 早 时 刻 ， 它 表示 上 下 文 切换 到 进程 的 开始 时 间 ( 假 
设 该 进程 是 具有 最 高 优先 级 的 可 运行 进程 )。 

C 一 一 进程 执行 的 实际 开始 

一 一 进程 的 完成 (该 进程 在 C 和 DD 之 间 可 能 被 多 次 抢占 ) 

E- 一 离开 该 进程 的 上 下 文 切换 的 完成 时 刻 

A 一 一 进程 的 下 一 次 启动 
这 个 进程 的 典型 需求 是 它 在 下 一 次 启动 前 完成 (也 就 是 D <A') ， 或 是 在 先 于 它 下 一 次 启动 的 
某 个 时 限 之 前 。 对 于 这 两 种 情况 中 的 任 一 种 ，D 是 一 个 重要 时 间 ， 而 E 不 是 。 需 求 的 另 一 种 形 
式 在 执行 的 开始 和 结束 时 间 之 间 加 一 个 界限 (也 就 是 D - C)。 这 发 生 在 第 一 个 动作 是 输入 ， 
而 最 后 一 个 动作 是 输出 时 (在 两 者 之 间 有 一 个 时 限 需求 ) 的 情形 。 这 些 因素 虽然 影响 进程 自 
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己 的 时 限 的 含义 (因此 影响 了 它 的 响应 时 间 )， 却 不 影响 该 进程 对 低 优先 级 进程 的 干预 ， 在 这 
里 要 计算 两 次 上 下 文 切换 的 全 部 开销 。 回 忆 基 本 的 调度 公式 (13-7): 








R 
R=C+B+ 一 | C, 
现在 该 公式 变 为 (只 对 周期 进程 ): 
R=CS +C+B+ 2 H (CS + CS? +C,) (16-1) 
ipl) T, 


其 中 ，CS! 是 初始 上 下 文 切换 (切换 进入 进程 ) 的 开销 ，C5? 是 在 进程 执行 结束 时 离开 它 的 上 
下 文 切换 的 开销 。 将 进程 放 入 延迟 队列 的 开销 (如果 它 是 周期 进程 ) 并 入 C;。 注 意 ， 实 际 上 
这 个 值 依赖 于 队列 的 大 小 ， 要 将 最 大 值 并 入 C;。 

响应 时 间 的 测量 从 图 16-2 中 的 B 点 开始 。 为 了 从 C 点 开始 测量 ， 将 C5! 从 公式 中 移 除 。 为 了 
从 A 点 开始 测量 (进程 的 预想 真正 启动 时 间 )， 需 要 测量 时 钟 的 行为 ( 见 16.3.3 节 )。 
16.3.2 偶发 进程 的 建 模 

对 于 由 其 他 偶发 或 周期 进程 启动 的 偶发 进程 ， 公 式 (16-1) 是 一 个 有 效 的 行为 模型 。 但 
是 ， 进 程 的 计算 时 间 C, 必 须 包 括 控 制 它 启 动 的 代理 的 阻塞 开销 。 

当 偶发 进程 由 中 断 启动 时 ， 可 能 发 生 优先 级 反 转 。 即 使 偶发 进程 有 一 个 低 优先 级 〈 由 于 
它 有 一 个 很 长 的 时 限 )， 但 是 中 断 本 身 将 在 高 硬件 优先 级 上 执行 。 令 工 是 由 中 断 启动 的 偶发 进 
程 的 集合 。 假 设 每 个 中 断 源 与 它 启动 的 偶发 进程 有 同样 的 到 达 特 性 。 这 些 中 断 处 理 程序 对 每 
个 应 用 进程 的 额外 干扰 由 下 式 给 出 : 


2 l IH 
“| T, 
这 里 IH 是 中 断 处 理 的 开销 (和 返回 到 已 经 启动 该 偶发 进程 的 正在 运行 进程 的 开销 )。 


这 种 表示 假设 所 有 中 断 处 理 程序 引起 同样 的 开销 ， 如 果 不 是 这 种 情况 ， 那 么 必须 为 每 个 
定义 五。 公式 (16-1) 现在 变 为 : 


(CS +CS?+C,) 


j 


R, 
+> BH IH (16-2) 


16.3.3 实时 时 钟 处 理 程序 的 建 模 

为 了 支持 周期 进程 ， 执 行 环境 必须 访问 实时 时 钟 ， 实 时 时 钟 会 在 适当 的 时 间 产 生 中 断 ， 
一 个 理想 系统 将 使 用 一 个 间隔 计时 器 ， 仅 当 需 要 启动 周期 进程 时 才 产 生 中 断 。 但 是 更 通常 的 
方法 是 以 一 个 有 规律 的 速率 产生 时 钟 中 断 (例如 每 10ms) ， 中 断 处 理 程序 必须 决定 是 否 必须 启 
动 一 个 或 多 个 周期 进程 ， 或 者 不 启动 。 可 以 用 以 前 介绍 的 对 于 偶发 进程 的 相同 方法 ( 见 16.3 2 
W) ， 为 实时 时 钟 处 理 的 这 种 理想 方法 建 模 。 对 于 有 规律 的 时 钟 方法 ， 必 须 建立 一 个 更 详细 的 
异型 ， 因 为 时 钟 处理 程序 的 执行 时 间 可 能 有 很 大 的 不 同 。 对 于 这 个 中 断 处 理 程序 (时钟 周 期 


R=CS'+C+B+ y R 
Jpili) T, 
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为 10ms) 表 16-2 给 出 了 可 能 的 时 间 。 注 意 ， 如 果 假 设 发 生 这 种 最 坏 情 况 ，10% 以 上 的 处 理 器 
都 不 得 不 分 配给 时 钟 处 理 程序 。 而 且 ， 所 有 这 些 计算 发 生 在 高 (最 高 ) 硬件 优先 级 上 ， 因 此 
将 发 生 相 当 大 的 优先 级 反 转 。 例 如 ， 利 用 表 16-2 给 出 的 数字 ， 被 启动 进程 中 最 高 优先 级 的 应 
用 进程 将 受到 25 个 周期 进程 的 LCM (Sh Ze ECC) 次 1048ks 的 干扰 。 如 果 进 程 是 自己 启动 的 ， 
那么 它 将 只 受到 88hs 的 和 干扰。 这 个 时 间 间 隔 可 用 图 16-2 中 的 B - A 表示 。 


表 16-2 ”时钟 中 断 处 理 的 开销 


队列 状态 时 钟 处 理 时 间 ，us 
队列 上 没有 进程 16 
队列 上 有 进程 ， 但 都 没有 移 走 24 
移 走 1 个 进程 88 
移 走 2 个 进程 128 
移 走 25 个 进程 1 048 


通常 ， 从 延迟 队列 移动 N 个 周期 进程 到 分 派 队列 的 开销 可 用 下 式 表示 : 
Cex = CT" +CT + (N - 1)CT™ 
这 里 C7" 是 不 变 开 销 (假设 至 少 有 一 个 进程 总 是 在 延迟 队列 ) ，C7* 是 移动 单个 进程 的 开销 ， 
CT” 是 每 个 后 续 移动 的 开销 。 由 于 观察 到 移动 一 个 进程 的 开销 常常 高 于 移动 额外 进程 的 附加 开 
销 ， 所 以 这 个 模型 是 合适 的 。 对 于 这 里 考虑 的 内 核 来 说 ， 这 些 开销 如 下 : 





CT: 24us 
Cr 64us 
CT" 40us 





假设 时 钟 中 断 处 理 程序 每 次 运行 都 要 消耗 Cu， 为 了 减少 这 个 计算 开销 ， 可 以 将 这 个 负载 
分 布 在 多 个 时 钟 滴答 上 。 如 果 任 一 应 用 进程 的 最 短 周 期 Ta 大 于 时 钟 周 期 Tu， 那么 这 种 方法 
是 有 效 的 。 令 M 由 下 式 确定 : 
“fe 
T, 


如 果 WM 大 于 1， 那 么 时 钟 中 断 处 理 程序 的 负载 就 可 以 分 散 到 寻 次 执行 。 在 这 种 情况 下 ， 时 钟 中 
新 处 理 程序 就 能 被 建 模 为 一 个 具有 周期 Tis 和 计算 时 间 C 的 进程 : 
Cj, = M(CT:- CT) +N - M)CT" 
这 里 假设 M< = N。 
公式 (16-2) 现在 变 为 : 


R, 
R, =CS'+C,+B,+ | (CS + CS 4C, 
A > 
R, 
+ 一 | IH 


+ 加 Ca (16-3) 
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为 了 进一步 改进 这 个 模型 ， 需 要 时 钟 中 断 处 理 程序 实际 执行 的 更 准确 表示 。 例 如 ， 只 使 
用 CT* 和 CT， 可 以 容易 地 导出 以 下 公式 : 


R, 
R=CS'+C,+B + X = 
jehpti) T, 


j 
R R 
一 | IH «|— 
'* Fa lz 


CT, (16-4) 


(CS +CS +C,) 








CT 











这 里 工 是 周期 进程 的 集合 。 

在 以 上 模型 中 并 入 时 钟 中 断 处 理 的 三 参数 模型 留 给 读者 练习 ( 见 练习 16.2)。 
16.3.4 高 速 缓存 对 最 坏 情 况 执行 时 间 分 析 的 影响 

在 13.12.1 节 ， 已 经 提 到 了 对 于 在 现代 处 理 器 上 执行 的 进程 进行 WCET 分 析 的 问题 。 尤其 
是 要 为 处 理 器 的 高 速 缓存 和 管道 的 行为 建 模 。 在 公式 (16-4) 中 ，C 和 C 的 值 受到 它们 的 影响 。 
如 果 通 过 详细 分 析 处 理 器 的 体系 结构 来 计算 这 些 值 ， 那么 在 调度 公式 中 ， 必 须 计 和 中断 引起 
的 抢占 。 和 否则， 使 用 的 这 些 值 是 乐观 的 。 幸 运 的 是 ， 对 于 硬 实时 系统 ， 必须 对 中 断 发 生 的 频 
率 加 以 限制 。 每 个 中 断 处 理 程 序 被 视 为 一 个 高 优先 级 偶发 进程 ， 并 用 对 待 高 优先 级 周期 进程 
同样 的 方式 来 考虑 它们 。 公 式 (16-4) 已 经 规定 了 进程 :执行 时 可 以 发 生 的 抢占 数目 。 它 就 是 
在 进程 的 响应 时 间 期 间 每 个 更 高 优先 级 进程 的 启动 次 数 。 每 次 抢占 都 可 能 刷新 高 速 缓存 和 管 
道 。 这 导致 了 以 下 融入 抢占 的 方法 。 假设 C 是 用 模型 计算 出 的 进程 的 最 坏 情 况 执行 时 间 ， 这 
种 模型 解释 了 没有 中 断 发 生 时 高 速 缓存 和 管道 的 获 益 。 计算 由 中 断 产 生 的 最 大 可 能 的 惩罚 y， 
这 是 重 填 高 速 缓存 和 管道 花费 的 时 间 。 现 在 可 以 修改 公式 (16-4) 以 计算 中 断 对 进程 的 影响 
(Busquets and Wellings, 1996): 


RaCS+C +B + Y B (CS + CS? +C,) 
JEhp(i) 


Jj 








R R 
+> | ann | (CT, +y) 


T, 
R, 
>> l: 
当然 ， 这 个 公式 是 非常 悲观 的 ， 因为 不 是 所 有 的 抢占 都 需要 对 整个 高 速 缓存 进行 重 填 。 
而 且 ， 某 些 被 替换 的 存储 块 会 已 经 被 替换 过 了 。 一 个 不 太 翡 观 的 方法 尝试 标识 出 高 速 缓存 块 
的 号 码 。 
16.4 硬件 支持 


当 在 任何 实时 间 题 的 解决 方案 中 引入 并 发 进程 的 时 候 ， 就 出 现 了 诸如 调度 、 进 程 间 通信 
等 的 开销 。16.3.3 节 试图 在 可 调度 性 分 析 中 为 这 些 开销 建 模 。 通过 提供 直接 硬件 支持 ， 已 经 做 
出 了 儿 个 尝试 以 减少 这 些 开销 。 本 节 简 要 考虑 两 个 硬件 内 核 。 第 一 个 是 为 高 效 运行 occam2 程 


CT, (16-5) 
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序 而 设计 的 传输 机 ， 第 二 个 是 Ada 任 务 协 处 理 器 ( ATAC ) 。 

在 最 近 几 年 ， 已 经 出 现 直接 用 硬件 来 支持 Java 虚 拟 机 (例如 ，Sun 公 司 的 picoJava 处 理 器 
(Sun Microsystems, 2000) 或 来 自 aJile Systems 公 司 的 aJ-100 (aJile Systems，2000) )。 这 些 
支持 超出 了 只 对 并 发 执行 的 支持 ， 并 试图 去 改善 Java 字 节 码 解释 执行 的 性 能 。 

16.4.1 传输 机 和 occam2 | 

传输 机 被 设计 成 一 个 occam2 机 器 ， 它 在 单个 芯片 上 有 一 个 32 位 的 处 理 器 、 一 个 64 位 的 学 
点 协 处 理 器 、 内 部 存储 器 和 一 些 通信 链 路 ， 这 些 通 信和 链 路 可 以 直接 同 其 他 传输 机 通信 。 利 用 
一 个 连续 的 地 址 空间 ， 一 个 地 址 总 线 将 外 部 存储 器 和 内 部 提供 的 存储 器 联合 在 一 起 。 通 常 ， 
一 个 传输 机 有 16k 字 节 的 内 部 存储 器 ， 实 际 上 ， 这 些 存储 器 可 看 作 一 个 用 于 执行 进程 的 巨大 的 
非 共享 寄存 器 集合 。 

通信 和 链 路 通过 链 路 接口 同 主 处 理 器 相 联 。 这 些 接口 能 独立 管理 链 路 的 通信 (包括 直接 内 
存 访问 )。 结 果 ， 传 输 机 能 同时 在 所 有 链 路 上 通信 (双向 )、 执 行 一 个 内 部 进程 和 进行 一 个 浮 
点 操作 。 

传输 机 有 一 个 精简 指令 集 ， 但 是 有 一 个 仅 有 三 个 寄存 器 的 操作 栈 。 每 条 指令 的 设计 目标 
是 使 它 在 occam2 编 译 器 的 代码 生成 阶段 都 是 有 用 的 ; 虽然 允许 直接 用 汇编 语言 编程 ， 但 是 ， 
在 指令 集 的 设计 中 没有 考虑 这 一 点 。 在 一 个 精简 指令 集 的 机 器 中 ， 不 是 所 有 指令 都 立即 可 用 ， 
那些 直接 可 访问 的 指令 正好 是 真正 的 occam2 程序 生成 的 那些 指令 。 

令 人 遗憾 的 是 传输 机 只 支持 一 个 受 限 的 优先 级 模型 。 但 是 ， 通 过 这 个 限制 ， 可 以 提供 一 
个 基本 上 是 用 硬件 ( 硅 刻 ) 实现 的 运行 时 支持 系统 。 这 种 体系 结构 (加 上 只 在 操作 栈 为 空 时 
才 会 发 生 上 下 文 切换 这 种 自明 之 理 ) 使 得 上 下 文 切换 时 间 是 非常 短 的 。 

虽然 单个 传输 机 的 操作 特征 给 人 以 深刻 印象 ， 但 是 只 有 它们 聚集 成 群 时 ， 才能 发 挥 它们 
的 全 部 潜能 。 传 输 机 使 用 点 到 点 通信 ， 它 的 缺点 是 如 果 没 有 直接 的 链 路 相连 ， 一 个 消息 可 能 
不 得 不 通过 一 个 中 间 媒 介 来 转发 到 目的 地 。 不 过 由 于 链 路 传输 速率 非常 高 而 传输 失败 的 比率 
非常 低 ， 所 以 给 了 实时 引擎 相当 大 的 能 力 和 可 靠 性 。 

16.4.2 ATAC 和 Ada 


已 经 有 了 几 个 生产 Ada 机 器 的 尝试 ， 例 如 (Ericsson， 1986; Runner and Warshawsky, 
1988)。 这 里 考虑 由 Roos (1991) 设计 的 Ada 任 务 协 处 理 器 (ATAC), 

AIAC 是 一 个 为 支持 Ada83 任 务 和 时 钟 模型 而 设计 的 硬件 设备 。 它 也 期 望 支持 Ada95 的 某 
些 特性 ， 例 如 支持 优先 级 继承 和 delay until, 它 的 目标 是 减轻 应 用 CPU 支持 Ada 任 务 的 负担 ， 
因而 使 任务 能 高 效 运行 ， 而 设 有 通常 由 Ada 运 行 时 支持 系统 引起 的 开销 。 

CPU 和 AIAC 之 间 的 通信 基于 标准 的 存储 ~ 映射 式 的 读 和 写 指令 。 一 个 原 语 操作 集合 提供 
了 接口 ， 包 括 : 

。CreateTask 一 一 创建 一 个 新 任务 ; 

“RactTasks 一 一 激活 一 个 或 多 个 已 创建 任务 ， 

“Rctivated 一 一 向 正 创 建 的 任务 发 信号 激活 ; 

“EnterTBIock 一 一 进入 一 个 新 任务 块 ; 

“ ExitTBlock 一 一 等 待 依赖 任务 退出 任务 块 : 
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。EntryCall 一 一 发 出 一 个 人 口 调用 ; 

。TimedECall 一 一 发 出 一 个 限时 入口 调用 ; 

。SelectRArg 一 一 打开 一 个 备 选 项 ; 

。SelectRes 一 一 在 选择 语句 中 选择 一 个 备 选 ; 

“Rndvcomp1 一 一 在 会 合 完成 后 设置 调用 者 为 可 运行 状态 ; 

*ACtjivate 一 一 使 一 个 挂 起 任务 变 成 可 运行 的 ; 

。Suspend 一 一 挂 起 当前 任务 ; 

。Switch 一 一 执行 重 调度 ; 

“Delay 一 一 延迟 一 个 任务 。 

AIAC 也 防守 所 有 中 断 ， 并 且 仅 当 一 个 较 高 优先 级 任务 变 成 可 运行 时 才 中 断 CPU。 用 一 个 
内 部 时 钟 来 支持 Ada 的 延迟 设施 和 包 calendar。 

AIAC 的 整体 目标 是 增强 Ada 任 务 的 性 能 ， 使 它 的 性 能 超过 纯 软件 运行 时 系统 两 个 数量 级 。 


小 结 


执行 环境 是 任何 已 实现 的 实时 系统 的 关键 部 分 。 它 支持 应 用 ,但 也 引入 开销 ， 并 对 应 用 
可 能 使 用 的 设施 施加 约束 。 可 以 使 用 一 个 成 熟 的 操作 系统 (OS) 来 提供 执行 环境 ， 但 是 由 于 
以 下 原因 通常 拒绝 这 样 做 : 

“0S 的 大 小 〈 即 占有 多 少 内 存 ) ; 

* (诸如 上 下 文 切 换 的 ) 关键 功能 的 效率 ; 

* 整个 OS 的 复杂 性 和 由 此 产生 的 可 靠 性 。 

这 一 章 说 明了 如 何 剪 裁 执行 环境 以 适应 应 用 的 特定 需要 ， 如 何 为 它 的 开销 建 模 ， 以 及 如 
何 提供 硬件 支持 。 本 书 的 其 他 部 分 也 介绍 了 关于 执行 环境 的 一 些 重 要 问题 。 例 如 : 

* 它 在 提供 损害 隔离 机 制 (也 就 是 防火 墙 ) 中 的 作用 ; 

* 它 在 错误 检测 中 的 作用 ; 

* 它 在 分 布 式 系统 中 对 通信 的 支持 作用 。 

第 一 个 问题 有 多 个 方面 。 可 以 监视 应 用 运行 的 不 同方 面 (数组 越界 、 内 存 越界 、 超 时 )。 
为 了 隔离 有 故障 部 件 和 为 故障 排除 产生 维护 数据 ， 还 可 以 在 后 台 运 行 “ 内 部 测试 ”设施 以 实 
际 运 用 硬件 的 各 个 部 分 。 

因为 执行 环境 的 许多 特性 对 范围 宽广 的 应 用 都 是 很 重要 的 , 因此 有 必要 重用 可 信 的 构件 ， 
问 着 提供 标准 环境 前 进 。 标 准 化 语言 和 铝 作 系统 接口 的 使 用 将 有 助 于 实现 这 个 目标 。 
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练习 


16.1 实时 系统 的 程序 员 应 该 知道 所 有 实现 语言 特性 的 实现 开销 吗 ? 

16.2 建立 一 个 时 钟 处 理 的 模型 ， 在 模型 中 加 入 三 个 参数 CT、CTr"、CT* ( 见 16.3.3 节 )。 

16.3 除了 用 时 钟 中 断 来 调度 周期 进程 ， 只 访问 实时 时 钟 会 有 什么 结果 ? 

16.4 一 个 周期 为 40ms 的 周期 进程 由 一 个 粒度 为 30ms 的 时 钟 中 断 来 控制 。 如 何 计算 这 个 进程 的 
651 最 坏 情况 响应 时 间 ? 
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第 17 章 Ada 案例 研究 


17.1 全 并 排水 17.6 容错 与 分 布 
17.2 HRT-HOOD 设 计 方 法 小 结 

17.3 逻辑 体系 结构 设计 相关 阅读 材料 
17.4 物理 体系 结构 设计 练习 

17.5 翻译 到 Ada 


在 本 章 中 介绍 一 个 案例 研究 ， 它 包括 本 书 中 描述 过 的 许多 设施 。 理 想 情况 是 应 当 分 别 用 
Ada、 实 时 Java、C 和 和 (POSIX) 以 及 occam2 给 出 这 个 案例 研究 。 令 人 遗憾 的 是 空间 有 限 ， 所 
以 研究 只 限于 Ada。 


17.1 矿井 排水 


选择 的 例子 以 文献 中 经 常 出 现 的 一 个 例子 为 基础 。 它 涉及 采矿 环境 中 管理 一 个 简化 的 水 泵 
控制 系统 所 需 的 软件 (Kramer 等 ，1983; Sloman and Kramer, 1987; Shrivastava 等 ，1987; 
Burns and Lister, 1991; Joseph, 1996; de la Puente, 1996), "ERA BRA SX SCIRE RR E Ve 
多 有 代表 性 的 特征 。 假 设 此 系统 在 具有 存储 -RIOR RESI LA ADE ERN. 

这 个 系统 将 汇集 于 矿井 底 的 一 个 池子 中 的 水 用 水 和 泵 抽 到 地 面 。 主 要 安全 需求 是 当 矿井 中 
甲烷 气体 的 含量 达到 高 位 值 时 ， 就 不 得 操作 水 泵 ,否则 有 爆炸 的 危险 。 系 统 的 简单 示意 图 如 
图 17-1 所 示 。 

控制 系统 和 外 部 设备 之 间 的 关系 如 图 17-2 所 示 。 注 意 ， 只 有 低 水 位 和 高 水 位 传感器 经 由 
中 断 通信 〈 用 虚 稍 头 表示 ) ; 所 有 其 他 设备 要 么 被 轮 询 ， 要 么 是 直接 控制 。 

17.1.1 功能 需求 

这 个 系统 的 功能 规格 说 明 可 分 为 四 部 分 :水 泵 操作 、 环 境 监控 、 操 作 员 交互 和 系统 监控 。 

1. KR | 

水 泵 控制 器 的 所 需 行 为 是 监控 池 中 的 水 位 。 当 水 到 达 高 水 位 (或 操作 员 请 求 ) 上 时， 水泵 
就 打开 ， 从 池 中 排水 ， 直 到 水 到 达 低 水 位 。 这 时 (或 操作 员 请 求 )， 水 泵 被 关上 。 如 果 需 要 的 
话 ， 可 以 检测 管道 中 的 水 流 。 

只 有 在 矿井 中 的 甲烷 气 含量 低 于 一 个 临界 值 时 ， A FCF ARR BE. 

2. 环境 监控 

必须 监控 环境 ， 以 检测 甲烷 在 空气 中 的 含量 ， 有 一 个 含量 水 平 ， 如 果 高 于 它 的 话 ， 采 煤 
和 操作 水 泵 是 不 安全 的 。 监控 工作 还 测量 矿井 中 一 氧化 碳 的 含量 和 是 否 有 足够 的 空气 流动 。 
如 果 瓦 斯 含量 或 空气 流 到 达 临 界 值 ， 就 必须 发 出 警报 。 

3. 操作 员 交互 

系统 从 地 面 经 由 一 个 操作 员 控制 台 控 制 。 所 有 关键 事件 都 要 通知 操作 员 。 
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图 17-1 矿井 排水 控制 系统 





图 17-2 说 明 外 部 设备 的 图 


4. 系统 监控 
所 有 系统 事件 都 要 存储 到 档案 数据 库 中 ， 并 可 根据 请 求 检索 和 显示 。 
654) 17.1.2 非 功能 需求 


655 非 功能 需求 可 分 为 三 个 : 时 间 性 的 :可 依赖 性 和 安全 性 : 本 案例 研究 主要 关心 时 间 性 需求 ， 
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所 以 不 讨论 可 依赖 性 和 安全 性 (对 可 依赖 性 和 安全 性 方面 的 完整 研究 见 文献 (Burns and Lister, 
1991 ) ) 。 

与 系统 动作 的 时 间 性 相关 的 需求 有 若干 个 ， 以 下 内 容 来 自 参考 文献 [Burns and Lister 
(1991) ]: 

(i) 监控 周期 

读 取 环 境 传感器 的 最 大 周期 受 法 规 支 配 。 对 于 此 例 的 目的 而 言 ， 假 设 这 些 周期 对 所 有 传 
感 器 是 相同 的 ， 即 100ms。 对 于 甲烷 ， 可 能 有 -一 个 更 严格 的 需求 ， 这 要 基于 水 和 泵 的 距离 并 确保 
当 甲 烷 含量 到 达 临 界 高 值 时 水 泵 不 操作 。 这 在 下 面 的 〈ii) 中 讨论 。 在 15.8 节 ， 描 述 过 怎么 分 
析 一 个 设备 驱动 程序 。 在 本 案例 研究 中 ， 将 把 “周期 移 位 法 ”用 于 CH 和 CO 传感器 。 这 些 环 
境 传感器 每 次 都 需要 40ms 以 使 读数 成 为 可 用 的 。 所 以 ， 它 们 需要 一 个 60ms 的 时 限 。 

ARGON RAPE MT. BARE. TKR BEM CRA AICI; 但 在 水 泵 关上 
(或 禁用 ) 时 ， 它 还 检查 水 是 否 已 经 停止 流动 。 后 一 种 检查 用 于 证 实 水 泵 确实 已 经 停止 。 由 于 
水 流 中 的 时 间 灌 后 ， 这 个 对 象 被 给 予 1 秒 的 周期 ， 并 且 它 使 用 两 个 相 邻 读数 的 结果 以 确定 水 泵 
的 实际 状态 。 为 确信 两 个 相 邻 读数 真 的 有 1 秒 钟 的 间隔 (近似 的 )， 给 这 个 对 象 以 40ms 的 紧 时 
限 〈 即 ， 两 个 读数 至 少 隔 960ms ， 但 不 多 于 1040ms )。 

假设 水 位 检测 器 是 事件 驱动 的 ， 系 统 必须 在 200ms 内 响应 。 这 个 应 用 的 物理 过 程 指出 ， 来 
自 两 个 水 位 指示 器 的 中 断 之 间 必 须 至 少 有 6 种 钟 。 

(ii) SAUTER 

为 避免 爆炸 ， 有 一 个 时 限 : 一 旦 甲烷 含量 超过 临界 值 ， 必 须 将 水 泵 断 开 。 这 个 时 限 同 甲 
烷 采 样 周期 有 关 ， 同 甲烷 积累 的 速度 有 关 ， 并 同 甲烷 含量 的 临界 值 和 引起 爆炸 的 含量 值 之 间 
的 安全 差 值 有 关 。 使 用 传感器 的 直接 读数 ， 这 个 关系 可 以 表示 成 一 个 不 等 式 : 


R(T* D) «M 

其 中 ， 

一 一 甲烷 积累 的 速度 ; 

7 一 一 采样 周期 ; 

D— — BABERE BR; 

4 一 一 安全 差 值 。 

如 果 使 用 “周期 移 位 法 ”， 就 再 需要 一 个 时 间 周 期 : 
RQ2T+D)<M 


注意 ， 周 期 T 和 时 限 D 之 间 可 以 互相 权衡 ， 而 且 两 者 都 可 以 同安 全 差 值 M 权 衡 。 周 期 或 时 
限 越 长 ， 安 全 差 值 就 一 定 越 稳健 ; 周期 或 时 限 越 短 ， 就 越 接近 于 矿 并 可 操作 的 安全 界限 。 所 
DA, 设计 者 可 以 改变 D、7 或 M 中 的 任意 一 个 ， 以 满足 时 限 和 周期 性 需求 。 

在 这 个 例子 中 ， 假设 甲烷 矿 穴 的 出 现 可 以 引起 甲烷 含量 快速 上 升 ， 所 以 假设 200ms 的 时 限 
需求 (从 甲烷 上 升 到 水 泵 被 关闭 )。 这 可 以 通过 设置 甲烷 传感器 的 速度 为 80ms、 时 限 为 30ms 
满足 。 注 意 ， 这 个 含量 将 确保 从 传感器 取 到 正确 的 读数 ( 即 两 个 读数 之 间 的 时 间 至 少 是 
50ms). 

(iii) 操作 员 信息 时 限 

检测 到 临界 的 高 甲烷 或 一 氧化 碳 读 数 时 必须 在 1 秒 钟 之 内 通知 操作 员 ， 对 临界 低空 气流 读 
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数 是 2 秒 ， 水 和 泵 操作 失败 是 3 秒 。 相 比 其 他 时 间 性 需求 而 言 ， 这 些 需 求 是 容易 满足 的 。 
表 17-1 概 略 地 确定 了 这 些 传 感 器 的 周期 或 最 小 到 达 间 隔 时 间 和 时 限 。 


家 17-1 周期 和 偶发 实体 的 属性 


周期 /偶发 “周期 ” 时 R 
CH4 传 感 器 P 80 30 
CO 传感器 P 100 60 
气流 P 100 100 
水 流 P 1 000 40 
水 位 检测 器 S 6 000 200 


17.2 HRT-HOOD 设 计 方 法 


在 第 2 章 介 绍 过 HRT-HOOD 开 发 过 程 。 它 的 关注 重点 是 逻辑 和 物理 体系 结构 的 设计 和 使 用 
一 种 基于 对 象 的 记号 。 本 章 使 用 这 个 方法 的 简化 版 本 。 

657 HRT-HOOD 通 过 提供 不 同 的 对 象 类 型 方便 系统 的 逻辑 体系 结构 设计 。 这 些 类 型 是 : 

“被 动 对 象 一 一 这 种 重 入 对 象 不 能 控制 什么 时 候 执 行 对 其 操作 的 调用 ， 也 不 主动 地 调用 其 

他 对 象 中 的 操作 。 

“主动 对 象 一 这 种 对 象 可 以 控制 什么 时 候 执行 对 其 操作 的 调用 、 并 可 主动 调用 其 他 对 象 

中 的 操作 。 主 动 对象 是 最 一 般 的 对 象 类 ， 对 它们 没有 限制 。 

。 保 护 对 象 一 一 这 种 对 象 可 以 控制 什么 时 候 执 行 对 其 操作 的 调用 ， 但 不 主动 调用 其 他 对 象 

中 的 操作 ; 通常 保护 对 象 不 可 以 有 任意 的 同步 约束 ， 并 且 它 们 施加 给 其 调用 者 的 阻塞 时 

间 必 须 是 可 分 析 的 。 

* 循环 对 象 一 一 表示 周期 活动 的 对 象 ， 它 们 可 以 主动 地 调用 其 他 对 象 中 的 操作 并 且 只 有 非 

常 受 限 的 接口 。 

* 偶发 对 象 一 一 表示 偶发 活动 的 对 象 ， 偶 发 对 象 可 以 主动 调用 其 他 对 象 中 的 操作 ; 每 个 偶 

发 对 象 有 一 个 单独 的 操作 以 供 调用 这 个 偶发 对 象 。 

使 用 HRTHOOD 设 计 的 硬 实时 系统 将 只 会 在 末端 级 〈 即 在 全 部 设计 分 解 之 后 ) 包含 循环 、 
偶发 、 保 护 和 被 动 对 象 。 因 为 主动 对 象 不 能 被 完全 分 析 ， 因 此 只 允许 它们 出 现在 背景 活动 中 。 
在 主 系统 的 分 解 过 程 中 可 以 使 用 主动 对 象 ， 但 必须 在 到 达 未 端 级 之 前 被 变换 到 上 述 几 种 对 象 
中 的 一 种 。 

图 17-3 说 明了 HRT-HOOD 设 计 的 图 式 表示 。 它 指出 “Parent” 对 象 被 层次 式 分 解 为 两 个 子 
对 象 (“Child1”,“Child2”)。 这 个 “Parent” 对 象 是 个 主动 对 象 ( 由 对 象 左 上 角 的 字母 A 指出 ) 
并 有 两 个 操作 “操作 1” 和 “操作 2”。 每 个 子 对 象 实现 一 个 操作 的 功能 。 为 了 实现 “操作 1” 
的 功能 ,“Child1” 使 用 了 由 “Child2” (一 个 被 动 对 象 ) 提供 的 设施 和 一 个 “Uncle”。Uncle 
对 象 是 一 个 在 更 高 层 分 解 中 定义 的 对 象 。 这 个 图 还 给 出 了 数据 流 和 异常 流 。 


17.3 逻辑 体系 结构 设计 
逻辑 体系 结构 设计 致力 于 同 执行 环境 施加 的 物理 约束 (例如 ， 处 理 器 速度 ) 无 关 的 需求 。 


17.1.1 节 所 确认 的 功能 需求 属于 这 一 类 。 对 其 他 系统 需求 的 考虑 放 到 物理 体系 结构 的 设计 中 ， 
这 在 后 面 描述 。 
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— “使 用 关系 ”( 控 制 流 ) 


> “SRA” (He BL) 
数据 流 
+—_—_» 异常 流 
图 17-3 HRT-HOOD 图 式 记号 





17.3.1 第 一 级 分 解 

建立 逻辑 体系 结构 的 第 一 步 是 确认 可 用 来 构建 系统 的 合适 的 对 象 类 。 系 统 的 功能 需求 奸 
议 四 个 不 同 的 子 系统 : 

1) 水 泵 控制 子 系统 一 一 负责 水 泵 的 操作 

2) 环境 监控 子 系统 一 一 负责 监控 环境 

3) 操作 员 控 制 台子 系统 一 一 负责 到 操作 员 的 接口 

4) 数据 记录 子 系统 一 一 负责 记录 操作 和 环境 数据 

图 17-4 说 明了 这 个 分 解 。 水 泵 控制 系统 有 四 个 操作 : “RRA” (not safe) 和 “安全 ” 
(safe) 操作 由 环境 监控 器 调用 ， 它 们 给 水 泵 控制 器 指出 水 泵 的 操作 是 否 安全 ( 归 因 于 环境 中 
甲烷 的 含量 等 级 )。“ 请 求 状态 ”(request status) M KRE” (set pump) 操作 由 操作 员 控 
制 台 调 用 。 作 为 一 个 补充 的 可 靠 性 特性 ， 在 水 泵 启动 前 ， 水 泵 控制 器 将 总 是 检查 甲烷 含量 等 
级 是 否 处 于 低 等 级 (通过 调用 环境 监控 器 中 的 “安全 检查 ”(check safe))。 如 果 水 泵 控制 器 
发 现 水 泵 不 能 启动 (或 者 水 泵 被 假想 打开 而 不 出 现 水 流 )， 则 引发 一 个 操作 员 敖 报 。 

环境 监控 器 有 单一 操作 “安全 检查 ”， 由 水 泵 控制 器 调用 。 

操作 员 控制 台 有 报警 (alarm) 操作 ， 它 由 水 泵 控制 器 调用 ， 如 果 有 任何 读数 过 高 的 话 ， 
也 由 环境 监控 器 调用 。 收 到 了 报警 调用 后 ， 操 作 员 控制 台 能 够 请 求 水 泵 的 状态 并 尝试 通过 直 
接 操作 水 泵 去 改变 高 水 位 传感器 和 低 水 位 传感器 的 读数 。 然 而 ， 在 后 一 种 情况 ， 如 果 还 在 做 
甲烷 含量 检查 ， 就 通过 一 个 正 被 使 用 的 异常 去 通知 操作 员 水 泵 不 能 打开 。 

数据 记录 器 有 六 个 操作 ， 它 们 都 只 是 一 些 由 水 泵 控制 器 和 环境 监控 器 调用 的 数据 记录 动作 . 
17.8.2 KRENE 


水 友 控 制 器 的 合适 分 解 如 图 17-5 所 示 。 水 泵 控制 器 被 分 解 为 三 个 对 象 。 第 一 个 对 象 控制 水 
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a 矿井 控制 系统 


/^| Kt /AT 环境 监控 器 








图 17-4 控制 系统 的 第 一 级 层次 分 解 


高 传感器 
低 传感器 





图 17-5 水 泵 对 象 的 层次 分 解 
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象 ， 所 以 它 是 一 个 保护 对 象 。 水 泵 控制 器 的 所 有 操作 都 是 由 马达 对 象 实现 的 。 因 为 系统 是 
”实时 的 ， 这 些 操 作 都 不 能 被 随意 阻塞 (虽然 它们 需要 互 斥 )。 马 达 对 象 将 向 其 所 有 叔 对 象 发 
出 调用 。 

另外 两 个 对 象 控 制 水 传感器 。 水 流传 感 器 对 象 是 一 个 循环 对 象 ， 它 持续 地 监控 矿井 中 的 
水 流 。 高 - 低 水 位 传感器 是 一 个 主动 对 象 ， 它 处 理 来 自 高 - 低 水 位 传感器 的 中 断 。 它 被 分 解 为 660 
一 企 保护 对 象 和 一 个 偶发 对 象 ， 如 图 17-6 所 示 。 661 


高 低 水 位 传感器 


(全 HLW 控 制 器 、\ 





图 17-6 高 - 低 水 位 传感器 的 分 解 


17.3.3 环境 监控 器 

环境 监控 器 分 解 成 四 个 末端 对 象 ， 如 图 17-7 所 示 。 其 中 有 三 个 循环 对 象 ， 监 控 矿 井 环境 
中 的 CH4 等 级 、CO 等 级 和 气流 。 只 有 CH 等 级 是 由 系统 中 的 其 他 对 象 请 求 的， 所 以 ， 用 一个 
保护 对 象 去 控制 对 当前 值 的 访问 。 
17.3.4 数据 记录 器 和 操作 员 控制 台 

本 案例 研究 不 涉及 数据 记录 器 和 操作 员 控 制 台 的 细节 。 然 而 ， 有 一 个 需求 ， 就 是 只 使 实 
时 线程 延迟 一 段 有 界 的 时 间 。 所 以 ， 假 设 它们 的 接口 包含 保护 对 象 。 


17.4 物理 体系 结构 设计 


HRT-HOOD 通 过 下 列 设施 支持 物理 体系 结构 的 设计 : 

* 允许 与 对 象 关 联 时 间 性 属性 ， 

* 提供 一 个 可 以 定义 可 调度 性 方法 和 进行 未 端 对 象 分 析 的 框架 ， 

* 提供 抽象 ， 使 设计 者 可 用 以 表达 对 时 间 性 出 错 的 处 理 。 

在 17.1.2 节 确认 的 非 功 能 性 的 时 间 性 需求 被 变换 成 在 方法 和 线程 上 的 标注 (annotation). 
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为 说 明 第 13 章 中 描述 的 分 析 ， 将 使 用 固定 优先 级 调度 ， 并 进行 响应 时 间 形 式 的 分 析 。 表 17-2 
总 结 了 在 逻辑 体系 结构 中 引入 对 象 的 时 间 性 属性 。 


f^ — 


/Pr| CHARA ^N 
2» dE /€| CH 传感器 o » 
CREJ 系 控制 器 
' THRA p 
- 警报 原因 
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CH4 读 


(C| 气流 传感器 N 操作 员 控 制 台 
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警报 原因 
CH Ae 
a 


> . 
(cl CO 传感器 
5 





CO 读数 


图 17-7 环境 监控 器 的 层次 分 解 
表 17-2 设计 对 象 的 属性 





类 型 “周期 ” 时 BR 优 先 级 
CH 传感器 周期 80 30 10 
CO 传感器 周期 100 60 8 
气流 传感器 周期 100 100 7 
水 流传 感 器 周期 1 000 40 9 
HLW 处 理 器 偶发 6 000 200 6 
马达 保护 10 
HLW 控 制 器 保护 11 
CH 状态 保护 10 
操作 员 控制 台 . 保护 10 


数据 记录 器 保护 10 


调度 分 析 


一 旦 开发 出 了 代码 ， 就 必须 进行 分 析 以 得 到 最 坏 情 况 执行 时 间 。 如 在 15.8 节 指出 的 ， 这 些 
值 可 以 从 直 楼 测量 或 通过 对 硬件 建 模 得 到 。 所 导出 的 代码 都 不 是 特别 多 ， 所 以 有 理由 假设 低 
如 处 理 器 就 够 了 。 表 17-3 包 含 了 设计 中 的 每 个 对 象 的 最 坏 情况 执行 时 间 的 几 个 有 代表 性 的 值 
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(以 毫秒 计 )。 注 意 ， 每 个 线程 的 时 间 包 括 花费 在 其 他 对 象 中 执行 的 时 间 、 花 费 在 执行 异常 处 
理 程序 上 的 时 间 和 相关 上 下 文 切换 的 时 间 。 为 了 给 中 断 处 理 程 序 的 效果 建 模 ， 引 人 了 一 个 
“ 伪 ” 偶 发 对 象 《 最 长 异常 处 理 程序 执行 时 间 为 2ms ) 。 


表 17-3 最 坏 情况 执行 时 间 





类 型 WCET 
CH 传感器 周期 12 
CO 传感器 周期 10 
气流 传感器 周期 10 
水 流传 感 器 周期 10 
HLW 处 理 器 偶发 20 


中 断 偶发 2 
eee 


执行 环境 设置 了 它 自己 的 一 组 重要 参数 一 -这 些 在 表 17-4 中 给 出 。 注 意 ， 时 钟 中 断 有 足够 
粒度 以 确保 周期 性 进程 没有 启动 拌 动 。 


表 17-4 开销 
Eee 
符 € 时 间 
一 egeo ss mW v 
时 钟 周 期 Tak 20 
时 钟 开销 CT 2 
单个 任务 移动 的 开销 CT 1 


一 OU 
所 有 线程 的 最 长 阻塞 时 间 发 生 在 操作 员 控制 台 发 出 一 个 对 马达 对 象 的 调用 的 时 候 。 可 以 
假设 发 出 这 个 调用 的 线程 有 低 优先 级 。 此 保护 操作 的 最 坏 情况 执行 时 间 假设 为 3ms。 
现在 可 将 上 述 信息 综合 ， 以 便 为 系统 中 所 有 线程 的 响应 时 间 提供 一 个 全 面 的 分 析 。 表 17-5 
中 给 出 了 这 个 分 析 。 分 析 的 结论 是 所 有 时 限 都 能 满足 。 


表 17-5 ”分析 结果 


类 型 T B C D R 
CO 传感器 周期 100 3 10 60 47 
气流 传感器 周期 100 3 10 100 57 
水 流传 感 器 周期 1 000 3 10 40 35 
HLW 处 理 器 偶发 6 000 3 20 200 79 


17.5 翻译 到 Ada 


HRTHOOD 支 持 到 Ada 的 系统 化 翻译 。 对 于 每 个 末端 对 象 ， 生 成 两 个 包 : 第 一 个 包 只 包 
含 定义 对 象 的 实时 属性 的 一 组 数据 类 型 和 变量 ; 第 二 个 包 包含 对 象 自身 的 代码 。 

图 17-4 所 示 的 每 个 对 象 都 渤 在 地 能 够 在 一 个 单独 的 处 理 器 上 实现 。 然 而 ， 为 了 这 个 例子 
的 目的 ， 采 用 单个 处 理 器 实现 。 

对 水 泵 控制 器 适宜 的 分 解 已 在 图 17-5 中 展示 ， 高 - 低 水 位 传感器 对 象 在 图 17-6 中 给 出 。 现 
在 可 以 给 出 这 些 对 象 的 代码 了 。 
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17.5.1 水 泵 控制 器 对 象 


1. 马达 
首先 给 出 马达 对 象 的 实时 属性 。 为 了 简明 ， 只 给 出 高 限 优先 级 属性 。 


package Motor Rtatt is 
Ceiling Priority: constant := 10; 
end Motor Rtatt; 
马达 对 象 的 接口 是 : 
package Motor is -- 保护 的 


type Pump Status is (On, Off); 
type Pump Condition is (Enabled, Disabled); 


type Motor State Changes is (Motor Started, 
Motor Stopped, Motor Safe, Motor Unsafe); 


type Operational Status is 
record 
Ps : Pump Status; 
Pc : Pump Condition; 


end record; 
Pump Not Safe : exception; 


procedure Not Safe; 
procedure Is Safe; 


function Request Status return Operational Status; 
procedure Set Pump(To : Pump Status); 
end Motor; 


马达 的 状态 由 两 个 变量 定义 。 一 个 指出 水 泵 应 当 是 开 还 是 应 当 关 ， 另 一 个 是 允许 或 禁用 
水 泵 。 当 水 泵 的 操作 不 安全 时 ， 它 被 禁用 。 类 型 Motor_state_Cchanges 用 于 向 数据 记录 器 
指出 状态 的 改变 。 

马达 的 状态 迁移 图 如 图 17-8 所 示 。 只 在 “ 开 - 人 允许 ” (ARE) 状态 才能 实际 对 水 泵 操 
作 。 









RER (F) 
RER ( 关 ) 


图 17-8 马达 的 状态 迁移 图 
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所 以 ， 包 体 实 现状 态 改变 。 因 为 这 些 必 须 是 原子 地 完成 的 ， 所 以 使 用 保护 对 象 。 本 章 中 ， 
为 实现 同步 约束 生成 的 所 有 保护 对 象 被 称 为 Agent (代理 )。 以 下 代码 假设 在 名 为 Device_ 


Register_Types 的 包 中 声明 了 设备 寄存 器 类 型 。 


package Device Register Types is 


Word : constant := 2; - 一 个 字 中 两 个 字 节 
One_Word : constant := 16; -- 一 个 字 中 16 个 二 进 制 位 
-- 寄存 器 位 段 类 型 


type Device Error is (Clear, Set); 

type Device Operation is (Clear, Set); 

type Interrupt Status is (I Disabled, I Enabled); 
type Device Status is (D Disabled, D Enabled); 


-- FFER Y 
type Csr is 


record 
Error Bit : Device Error; 
Operation  : Device Operation; 
Done : Boolean; 


Interrupt : Interrupt Status; 
Device : Device Status; 
end record; 
-~ 寄存 器 字段 的 位 表示 
for Device Error use (Clear => 0, Set => 1); 
for Device Operation use (Clear => 0, Set => 1); 
for Interrupt Status use (I Disabled => 0, 
I Enabled => 1); 
for Device Status use (D Disabled => 0, 
D Enabled => 1); 
for Csr use 
record at mod Word; 
Error Bit at 0 range 15 ..15; 
Operation at 0 range 10 ..10; 


Done at 0 range 7 .. 7; 
Interrupt at 0 range 6 .. 6; 
Device at 0 range 0 .. 0; 


end record; 


for Csr' 


Size use One Word; 
for Csr' Alignment use Word; 
for Csr' Bit order use Low Order First; 


end Device Register Types; 


包 Motor 的 体 只 包括 保护 类 型 Agent 的 实现 。 外 部 操作 只 是 调用 保护 子 程序 。 


with Data Logger; 
with Ch4 Status; use Ch4 Status; 
with Device Register Types: use Device Register Types; 
with System; use System; 
with Motor Rtatt; use Motor Rtatt; 
With System.Storage Elements; use System.Storage Elements; 
package body Motor is 
Control Reg Addr : constant Address := To Address(16fAal4£); 
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Pcsr : Device Register Types.Csr :- 
(Error Bit => Clear, Operation => Set, 
Done => False, Interrupt => I Enabled, 
Device => D Enabled); 

for Pesr' Address use Control_Reg_Addr; 


protected Agent is 
pragma Priority(Motor Rtatt. 
Ceiling Priority); 
procedure Not Safe; 
procedure Is Safe; 
function Request Status return Operational Status; 
procedure Set Pump(To : Pump Status); 


private 

Motor Status : Pump Status :- Off; 

Motor Condition : Pump Condition :- Disabled; 
end Agent; 


procedure Not Safe is 
begin 

Agent.Not Safe; 
end Not Safe; 


procedure Is Safe is 
begin 

Agent.Is_ Safe; 
end Is Safe; 


function Request Status return Pump Status is 
begin 

return Agent.Request Status; 
end Request Status; 


procedure Set Pump(To : Pump Status) is 
begin 

Agent.Set Pump(To); 
end Set Pump; 


protected body Agent is 
procedure Not Safe is 


begin 
if Motor Status - On then 
Pcsr.Operation := Clear; -~ 关 掉 马达 
Data Logger.Motor Log(Motor Stopped); 
end if; 


Motor Condition :- Disabled; 
Data Logger.Motor Log(Motor Unsafe); 
end Not Safe; 


procedure Is Safe is 
begin 
if Motor Status - On then 
Pc i im z = 
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end if; 
Motor Condition :- Enabled; 
Data Logger.Motor Log(Motor Safe); 


end Is Safe; 


function Request Status return Operational Status is 
begin 
return (Ps => Motor Status, PC => Motor Condition); 


end Request Status; 


procedure Set Pump(To : Pump Status) is 
begin 
if To - On then 
if Motor Status - Off then 
if Motor Condition - Disabled then 
raise Pump Not Safe; 


end if; 

if Ch4 Status.Read = Motor Safe then 
Motor Status :- On; 
Pcsr.Operation := Set; -- 打开 马达 


Data Logger.Motor Log(Motor Started); 
else 
raise Pump Not Safe; 
end if; 
end if; 
else 
if Motor Status - On then 
Motor Status:- Off; 
if Motor Condition - Enabled then 
Pcsr.Operation := Clear; -- 关 掉 马达 
Data Logger.Motor Log(Motor Stopped); 
end if; 
end if; 
end if; 
end Set Pump; 
end Agent; 
end Motor; 


2. 水 流传 感 器 处 理 对 象 
水 流传 感 器 是 一 个 循环 对 象 ， 所 以 有 下 列 实时 属性 : 


with System; use System; 
with Ada.Real Time; use Ada.Real Time; 
package Water Flow Sensor Rtatt is 
Period : Time Span :- Milliseconds (1000); 
Thread Priority : constant Priority :- 9; 
end Water Flow Sensor Rtatt; 


这 个 对 象 没有 接口 ， 虽 然 对 数据 记录 器 而 言 需要 一 个 类 型 声明 。 还 需要 个 编 用 以 确保 
包 体 被 制作 。 


package Water Flow Sensor is -- 循环 的 
pragma Elaborate Body; 
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type Water Flow is (Yes, No); 
-- 调用 Operator Console.Alarm 
~- Wibata Logger.Water Flow Log 
-- 调用 Motor.Request Status 


end Water Flow Sensor; 


这 个 包 体 包含 两 个 子 程序 ， 一 个 用 于 传感器 初始 化 (Initialize)， 另 一 个 用 于 每 个 周期 要 
执行 的 代码 (Periodic_code)。 每 次 调用 的 时 候 ， 任 务 只 检查 水 泵 开 时 水 是 否 在 流动 ， 水 
泵 关 时 是 否 无 水 流动 。 如 果 这 两 个 不 变 的 要 求 被 破坏 了 ， 就 响起 警报 。 任 务 Thread 实 现 这 些 
正确 的 周期 时 间 性 属性 。 


with Ada.Real Time; use Ada.Real Time; 
with Device Register Types; use Device Register Types; 
with System; use System; 
With Water Flow Sensor Rtatt; use Water Flow Sensor Rtatt; 
with Motor; use Motor; 
with Operator Console; use Operator Console; 
with Data Logger; use Data Logger; 
with System.Storage Elements; use System.Storage Elements; 
package body Water Flow Sensor is 

Flow : Water Flow :- No; 

Current Pump Status, Last Pump Status : Pump Status :- Off 


` 


Control_Reg_Addr : constant Address := To Address (16#Aal4#); 
Wfcsr : Device Register Types.Csr; 
for Wfcsr' Address use Control Reg Addr; 


procedure Initialize is 
begin 

-- 人 允许 设备 操作 

Wfcsr.Device := D Enabled; 
end Initialize; 


procedure Periodic Code is 


begin 
Current Pump Status :- Motor.Request Status; 
if (Wfcsr.Operation = Set) then 
Flow :- Yes; 
else 
Flow :- No; 
end if; 


if Current Pump Status - On and 
Last Pump Status - On and Flow - No then 
Operator Console.Alarm(Pump Fault); 
elsif Current Pump Status - Off and 
Last Pump Status = Off and Flow = Yes then 
"Operator Console.Alarm(Pump Fault); 
end if; 
Last Pump Status :- Current Pump Status; 
Data Logger.Water Flow Log(Flow); 
end Periodic Code; 


task Thread is 








Ada È f& F E 517 





pragma Priority (Water Flow Sensor Rtatt.Thread Priority); 
end Thread; 


task body Thread is 
T: Time; 
Period: Time Span :- Water Flow Sensor Rtatt.Period; 
begin 
T :- Clock; 
Initialize; 
loop 
Periodic Code; 
T := T + Period; 
delay until(T); 
end loop; 
end Thread; 
end Water Flow Sensor; 


3. HLW 控 制 器 对 象 

HLW 控 制 器 对 象 负责 处 理 来 自 高 、 低 水 位 检测 器 的 中 断 。 其 目的 是 把 这 两 个 中 断 映 射 到 
对 一 个 名 为 “HLW 处 理 程序 ”的 单个 偶发 对 象 的 调用 上 。 这 是 必需 的 ， 因 为 HRTHOOD 不 介 
许 由 多 于 一 个 的 启动 操作 去 调用 一 个 偶发 对 象 。 这 些 中 断 处 理 程序 是 一 个 Ada 保 护 对 象 中 的 

with System; use System; 

with Ada.Real Time; use Ada.Real Time; 

package Hlw Controller Rtatt is 


Ceiling Priority : constant Priority :- 11 
end Hlw Controller Rtatt; 


, 


with Hlw Controller Rtatt; use Hlw Controller Rtatt; 
package Hlw Controller is -- 保护 的 

procedure Sensor High Ih; 

procedure Sensor Low Ih; 
end Hlw Controller; 


with Hlw Handler; use Hlw Handler; 
with System; use System; 
with Ada.Interrupts; use Ada.Interrupts; 
with Ada.Interrupts.Names; use Ada.Interrupts.Names; 
-- Ada.Interrupts.Names 定义 Waterh Interrupt 和 Waterl Interrupt 
package body Hlw Controller is 
protected Agent is 
pragma Priority(Hlw Controller Rtatt. 
Ceiling Priority); 
procedure Sensor High Ih; 
pragma Attach Handler(Sensor High Ih, Waterh Interrupt); 
-- 分 配 中 断 处 理 程序 
procedure Sensor Low Ih; 


pragma Attach_Handler(Sensor_Low Ih, Waterl_Interrupt); 


-- 分 配 中 新 处 理 程序 
end Agent; 


procedure Sensor High Ih is 


Nn 








518 £17* 


begin 
Agent.Sensor High Ih; 
end Sensor High Ih; 


procedure Sensor Low Ih is 
begin 

Agent.Sensor Low Ih; 
end Sensor Low Ih; 


protected body Agent is 
procedure Sensor High Ih is 
begin 
Hlw Handler.Start(High); 
end Sensor High Ih; 


procedure Sensor Low Ih is 
begin 
Hlw Handler.Start(Low); 
end Sensor Low Ih; 
end Agent; 
end Hlw Controller; 


4. HLW 5p 38 4$ - 

HLW 处 理 程序 对 象 处 理应 用 对 中 断 的 响应 ， 即 请 求 打 开 或 关闭 水 泵 。 它 包含 一 个 任务 ， 
这 个 任务 经 由 一 个 保护 对 象 人 口 (Wait Start) 去 等 待 一 个 中 断 。 中 断 是 由 HLW 控 制 器 对 
家 调用 start 操 作 发 出 的 (一 种 更 精巧 的 映射 将 使 中 断 设 施 上 的 过 度 消耗 能 够 被 检测 并 处 理 )。 


with System; use System; 
Package Hlw Handler Rtatt is 
Ceiling Priority : constant Priority := 11; 
Thread Priority : constant Priority := 6; 
end Hlw Handler Rtatt; 


with Hlw Handler Rtatt; use Hlw Handler Rtatt; 
package Hlw Handler is -- 偶发 的 

type Water Mark is (High, Low); 

procedure Start(Int : Water Mark); 
end Hlw Handler; 


with Device Regiater Types; use Device Register Types; 
with System; use System; 
with Motor; use Motor; 
with Data Logger; 
with System.Storage Elements; use System.Storage Elements; 
package body Hlw Handler is 
Hw Control Reg Addr : constant Address :- To_Address (16#Aa10#); 
Lw_Control_Reg Addr : constant Address := To_Address (16#Aa12#); 
Hwesr : Device Register Types.Csr; 
for Hwcsr' Address use Hw Control Reg Addr; 
Lwcsr : Device Register Types.Csr; 
for Lwcsr' Address use Lw Control Reg Addr; 


procedure Sporadic Code(Int : Water Mark) is 
begin 
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if Int - High then 
Motor.Set Pump(0n); 
Data Logger.High Low Water Log(High); 
Lwcsr.Interrupt :- I Enabled; 


Hwcsr.Interrupt :- I Disabled; 
else 


Motor.Set Pump(Off); 
Data Logger.High Low Water Log(Low); 
Hwcsr.Interrupt := I Enabled; 


Lwcsr.Interrupt :- I Disabled; 
end if; 


end Sporadic Code; 


procedure Initialize is 


begin 
Hwcsr.Device :- D Enabled; 
Hwcsr.Interrupt :- I Enabled; 
Lwcsr.Device :- D Enabled; 


Lwcsr.Interrupt :- I Enabled; 
end Initialize; 


task Thread is 


pragma Priority(Hlw Handler Rtatt.Thread Priority); 
end Thread; 


protected Agent is 
pragma Priority(Hlw Handler Rtatt. 
Ceiling Priority); 
-- 对 Start 操 作 
procedure Start(Int : Water Mark); 
entry Wait Start(Int : out Water Mark); 


private 
Start Open : Boolean := False; 
W : Water Mark; 

end Agent; 


procedure Start(Int : Water Mark) is 
begin 

Agent.Start(Int); 
end Start; 


protected body Agent is 
procedure Start (Int : Water Mark) is 
begin 
W :- Int; 
Start Open :- True 
end Start; 


7 


entry Wait Start(Int : out Water Mark) 
when Start Open is 


begin 
Int :- W; 
Start Open :- False; 


end Wait Start; 
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end Agent; 


task body Thread is 
Int : Water Mark; 
begin 
Initialize; 
loop 
Agent.Wait Start(Int); 
Sporadic Code(Int); 
end loop; 
end Thread; 
end Hlw Handler; 


17.5. 环境 监控 

环境 监控 子 系统 的 分 解 已 在 图 17-7 中 说 明 。 注 意 ，check_safe 子 程序 使 水 泵 控制 器 能 
通过 CH 状态 保护 对 象 无 阻塞 地 观察 甲烷 等 级 的 当前 状态 。 所 有 其 他 成 分 都 是 周期 性 活动 。 

1. CH4 状 态 对 象 i 

CH4 状 态 对 象 只 包含 指出 操作 水 和 泵 是 否 安全 的 数据 。 


with System; use System: 
with Ada.Real Time; use Ada.Real Time; 
package Ch4 Status Rtatt is 


E -~ 对 保护 对 象 
2 Ceiling Priority : constant Priority := 10; 
674 end Ch4 Status Rtatt; 

package Ch4 Status is -- 保护 的 


type Methane Status is (Motor Safe, Motor Unsafe); 


function Read return Methane Status; 
procedure Write (Current Status : Methane Status); 
end Ch4 Status; 


with Ch4 Status Rtatt; use Ch4 Status Rtatt; 
package body Ch4 Status is 
protected Agent is 
pragma Priority(Ch4 Status Rtatt. 
Ceiling Priority); 
procedure Write (Current Status : Methane Status); 
function Read return Methane Status; 
private 
Environment Status : Methane Status :- Motor Unsafe; 
end Agent; 


function Read return Methane Status is 
begin 

return Agent.Read; 
end Read; 


procedure Write (Current Status : Methane Status) is 
begin 
Agent.Write(Current Status); 
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end Write; 


protected body Agent is 
procedure Write (Current Status : Methane Status) is 
begin ' 
Environment_Status := Current_Status; 


end Write; 


function Read return Methane_Status is 
begin 
return Environment_Status; 
end Read; 
end Agent; 
end Ch4 Status; 


2.CHs 传 感 器 处 理 对 象 

CH 传感器 的 功能 是 测量 环境 中 甲烷 的 含量 等 级 。 要 求 是 它 不 应 当 上 升 到 门限 值 以 上 。 不 
可 避免 地 ， 这 个 传感器 将 在 这 个 门限 值 附 近 不 断 地 发 出 安全 和 不 安全 的 信号 。 为 避免 这 种 拌 
动 ， 使 用 了 门限 值 的 下 界 和 上 界 。 注 意 ， 因 为 ADC 需 要 花 些 时 间 产 生 结 果 ， 在 一 个 周期 末尾 
请 求 的 转换 将 在 下 一 个 周期 启动 时 使 用 。 


with System; use System; 
with Ada.Real_Time; use Ada.Real_Time; 
package Ch4 Sensor Rtatt is 


Period : Time_Span := Milliseconds(80); 
Thread Priority : constant Priority :- 10; 


end Ch4 Sensor Rtatt; 


package Ch4 Sensor is -- 循环 的 
pragma Elaborate Body; 
type Ch4 Reading is new Integer range 0 . . 1023; 
Ch4 High : constant Ch4 Reading := 400; 
-- 调用 Motor.Is Safe 
-- WiHMotor.Not Safe 
-- 调用 Operator Console.Alarm 
-- WiHiData Logger.Ch4 Log 
end Ch4 Sensor; 


With Ada.Real Time; use Ada.Real Time; 
with System; use System; 
with Ch4 Sensor Rtatt; use Ch4 Sensor Rtatt; 
with Device Register Types; use Device Register Types; 
with Operator Console; use Operator Console; 
with Motor; use Motor; 
with Data Logger; use Data Logger; 
with Ch4 Status; use Ch4 Status; 
with System.Storage Elements; use System.Storage Elements; 
package body Ch4 Sensor is 
Ch4 Present : Ch4 Reading; 








522 


Control Reg Addr : constant Address := To Address(16f£Aal8f); 
Data Reg Addr : constant Address := To_Address(16#Aala#); 
Ch4csr : Device Register Types.Csr; 

for Ch4csr' Address use Control Reg Addr; 
-- 定义 数据 寄存 器 

Ch4dbr : Ch4 Reading; 

for Ch4dbr' Address use Data Reg Addr; 
Jitter Range : constant Ch4 Reading :- 40; 


procedure Initialize is 
begin 


-- 允许 设备 操作 
Ch4csr.Device := D_Enabled; 
Ch4csr.Operation := Set; 


end Initialize; 
procedure Periodic Code is 
begin 

if not Ch4csr.Done then 


Operator Console.Alarm(Ch4 Device Error); 


else 


-- 读 设 备 寄存 器 中 的 传感器 值 
Ch4 Present := Ch4dbr; 
if Ch4_Present > Ch4 High then 
if Ch4 Status.Read = Motor Safe then 
Motor.Not Safe; 
Ch4 Status.Write(Motor Unsafe); 
Operator Console.Alarm(High Methane); 
end if; 


elsif (Ch4 Present « (Ch4 High - Jitter Range)) and 
(Ch4 Status.Read - Motor Unsafe) then 


Motor.Is Safe; 

Ch4 Status.Write(Motor Safe); 
end if; 
Data Logger.Ch4 Log(Ch4 Present); 


end if; 

Ch4csr.Operation := Set; -- 为 下 一 次 循环 启动 转换 
end Periodic Code; 
task Thread is 


pragma Priority(Ch4 Sensor Rtatt. 


Thread Priority); 


end Thread; 


task body Thread is 
T: Time; 
Period : Time Span :- Ch4 Sensor Rtatt.Period; 
begin 


7 Clock * Period; 


Initialize; 
loop 


delay until(T); 
Periodic Code; 
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T := T + Period; 
end loop; 
end Thread; 
end Ch4 Sensor; 


17.5.8 气流 传感器 处 理 对象 
气流 传感器 是 另 一 个 周期 对 象 ， 它 只 监控 矿井 中 的 空气 流动 。 


with System; use System; 
with Ada.Real Time; use Ada.Real Time; 
package Air Flow Sensor Rtatt is 
Period : Time Span := Milliseconds(100); 
Thread Priority : constant Priority := 7; 
end Air Flow Sensor Rtatt; 


package Air Flow Sensor is -- 循环 的 
pragma Elaborate Body; 
type Air Plow Status is (Air Flow, No Air Flow); 
-- 调用 Data Logger.Air Flow Log 
-~ 调用 Operator_Console.Alarm 
end Air Flow Sensor; 


with Device Register Types; use Device Register Types; 
with System; use System; 
with Ada.Real Time; use Ada.Real Time; 
with Air Flow Sensor Rtatt; use Air_Flow_Sensor_Rtatt; 
with Operator Console; use Operator Console; 
with Data Logger; use Data Logger; 
with System.Storage Elements; use System.Storage Elements; 
package body Air Flow Sensor is 

Air Flow Reading : Boolean; 


Control Reg Addr : constant Address :- To_Address (16#Aa120#); 


Afcsr : Device Register Types.Csr; 
for Afcsr' Address use Control Reg Addr; 


task Thread is 
pragma Priority(Air Flow Sensor Rtatt. 
Initial Thread Priority); 
end Thread; 


procedure Initialize is 
begin 
-~ 多 许 设备 操作 
Afcsr.Device :- D Enabled; 
end Initialize; 


procedure Periodic Code is 


begin 

-- 读 水 流 指示 的 设备 寄存 器 

-~ (操作 位 置 为 1); 

Air Flow Reading := Afcsr.Operation - Set; 


if not Air Flow Reading then 
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Operator Console.Alarm(No Air Flow); 
Data Logger.Air Flow Log(No Air Flow); 
else 
Data Logger.Air Flow Log(Air Flow); 
end if; 
end Periodic Code; 


task body Thread is 
T: Time; 
Period: Time Span :- Air Flow Sensor Rtatt.Period; 
begin 
T:= Clock; 
Initialize; 
loop 
delay until(T); 
Periodic Code; 
T := T + Period; 
end loop; 
end Thread; 
end Air Flow Sensor; 


17.5.4 CO 传感器 处 理 对 象 
CO 传感器 在 其 实现 方面 也 很 简单 。 


with System; use System; 
with Ada.Real Time; use Ada.Real Time; 
package Co Sensor Rtatt is 


Period : Time Span :- Milliseconds(100); 
Thread Priority : constant Priority := 8; 
end Co Sensor Rtatt; 


package Co Sensor is -- 循环 的 
pragma Elaborate Body; 
type Co Reading is new Integer range 0 .. 1023; 
CO High : constant Co Reading :- 600; 


-- 调用 Data Logger.Co log 
-~ iW/HOperator Console.Alarm 
end Co Sensor; 


with Ada.Real Time; use Ada.Real Time; 
with System; use System; 
with Device Register Types; use Device Register Types; 
with Co Sensor Rtatt; use Co Sensor Rtatt; 
with Operator Console; use Operator Console; 
with Data_Logger; use Data_Logger; 
with System.Storage_Elements; use System.Storage Elements; 
package body Co_Sensor is 
Co Present : Co Reading; 


Control Reg Addr : constant Address := To_Address(16#Aalc#); 
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Data Reg Addr : constant Address := To Address(16fAalef); 


Cocsr : Device Register Types.Csr; 
for Cocsr' Address use Control Reg Addr; 


-- 定义 数据 寄存 器 
Codbr : Co_Reading; 
for Codbr' Address use Data_Reg Addr; 


procedure Initialize is 


begin 
-- 允许 设备 操作 
Cocsr.Device := D_Enabled; 
Cocsr.Operation := Set; -- 启动 转换 


end Initialize; 
procedure Periodic_Code is 
begin 

if not Cocsr.Done then 


Operator Console.Alarm(Co Device Error); 


else 
-- 读 设 备 寄存 器 中 的 传感器 值 
Co_Present := Codbr; 
if Co_Present > Co High then 
Operator Console.Alarm(High Co); 
end if; 
Data Logger.Co Log(Co Present); 
end if; 
Cocsr.Operation := Set; -- 启动 转换 
end Periodic Code; 


task Thread is 


pragma Priority(Co Sensor Rtatt.Thread Priority); 


end Thread; 


task body Thread is 
T : Time; 


Period : Time Span :- Co Sensor Rtatt.Period; 


begin 
T := Clock + Period; 
Initialize; 
loop 
delay until(T); 
Periodic Code; 
T :- T + Period; 
end loop; 
end Thread; 
end Co Sensor; 


17.5.5 数据 记录 器 
只 给 出 数据 记录 对 象 的 接口 。 


with Co Sensor; use Co Sensor; 

with Ch4 Sensor; use Ch4 Sensor; 

With Air Flow Sensor; use Air Flow Sensor; 
with Hlw Handler; use Hlw Handler; 
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with Water Flow Sensor; use Water Flow Sensor; 

with Motor; use Motor; 

package Data Logger is -- 主动 的 
procedure Co Log(Reading : Co Reading); 
procedure Ch4 Log(Reading : Ch4 Reading); 
procedure Air Flow Log(Reading : Air Flow Status); 
procedure High Low Water Log(Mark : Water Mark); 
procedure Water Flow Log(Reading : Water Flow); 
procedure Motor Log(State : Motor State Changes); 

end Data Logger; 


1756 操作 员 控制 台 
只 给 出 “操作 员 控制 台 ” 对 象 的 接口 。 
package Operator Console is -- 主动 的 
type Alarm_ Reason is (High_Methane, High_Co, No_Air Flow, 
Ch4 Device Error, Co Device Error, 
Pump Fault, Unknown Error); 
procedure Alarm(Reason: Alarm Reason; 
Name : String :- "Unknown"; 


Details : String:= ""); 


-- 调用 Pump_Controller 中 的 Request Status 
-- 调用 Pump_Controller 中 的 Set_Pump 
end Operator Console; 


17.6 容错 和 分 布 


第 5 章 说 明 过 可 以 导致 媒人 入 式 系统 失效 的 故障 的 四 种 来 源 : 

1) 不 充分 的 规格 说 明 。 

2) 在 软件 部 件 中 的 设计 错误 引入 的 故障 。 

3) 嵌入 式 系统 中 一 个 或 多 个 处 理 器 部 件 的 失效 引入 的 故障 。 

4) 在 支持 通信 子 系统 中 的 短暂 或 持续 干扰 引入 的 故障 。 

本 书 关注 后 三 种 。 现 在 依次 按 同 本 案例 研究 的 关系 予以 讨论 。Ada 的 软件 容错 方法 是 使 用 
异常 处 理 作为 构造 出 错 恢复 的 框架 。 
17.6.1 设计 错误 

因为 本 案例 研究 必须 要 简明 ， 所 以 软件 设计 错误 的 容错 范围 是 很 小 的 。 在 这 个 例子 中 ， 
HRIHOOD 设 计 方法 学 以 及 Ada 数 据 抽象 设施 已 经 被 用 于 尝试 在 设计 和 实现 阶段 防止 故障 进 
入 系统 。 在 实际 应 用 中 ， 后 面 会 接着 有 一 个 全 面 测 试 阶段 以 排除 已 经 被 引入 的 故障 。 还 可 以 
使 用 仿真 。 

程序 中 驻 留 的 任何 设计 错误 将 会 引起 预料 不 到 的 错误 出 现 。 虽 然 向 后 出 错 恢复 或 N 版 本 程 
序 设 计 对 于 这 类 错误 的 恢复 工作 是 理想 的 ， 这 个 例子 中 的 设计 多 样 性 却 只 有 很 小 的 范围 ， 如 
果 这 个 例子 假设 所 有 非 预期 错误 会 导致 引发 异常 ， 每 个 任务 或 操作 可 以 用 一 个 “when others” 


异常 处 理 程序 加 以 保护 。 例 如 ， 水 流 线 程 可 以 被 改 成 ， 如 果 有 -个 非 预 期 的 错误 出 现 ， 就 通 
知 操作 员 。 . 
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task Thread; 
task body Thread is 
T: Time; 
Period : Time Span :- Water Flow Sensor Rtatt.Period; 
use Ada.Exceptions; 
begin 
T:- Clock; 
Initialize; 
loop 
Periodic Code; 
T := T + Period; 
delay until(T); 
end loop; 
exception 
when E: others => 
Operator Console.Alarm(Unknown Error, Exception Name(E), 
Exception Information(E)); 
Motor.Not Safe; -- Pump Controller.Not Safe 
Ch4 Status.Write(Motor Unsafe); 
-- 在 终止 前 尝试 并 关 掉 马达 
end Thread; 
end Water Flow Sensor; 


虽然 矿井 水 泛滥 是 严重 的 ， 但 是 应 用 的 需求 说 火灾 更 危险 ， 所 以 出 错 处 理 总 是 试图 确保 
水 泵 被 关闭 (故障 保护 )。 

应 当 注 意 ， 操 纵 水 泵 和 甲烷 状态 的 所 有 交互 都 应 当 用 原子 动作 的 形式 。 上 面 给 出 的 代码 
使 得 能 用 另 一 个 任务 去 确定 马达 处 于 不 安全 状态 ， 即 使 甲烷 状态 可 能 指示 说 水 泵 操作 是 安全 
的 ( 见 练习 17.2)。 

17.6.20 处 理 器 和 通信 和 失效 


通常 ， 如 果 矿 井 控制 系统 在 一 个 单 处 理 器 计算 机 上 实现 并 且 处 理 器 的 任何 部 分 发 生 失 效 ， 
那么 整个 系统 会 处 于 危险 之 中 。 所 以 ， 必须 使 用 某 种 形式 的 硬件 宛 余 或 分 布 。 在 矿井 中 看 到 
的 控制 系统 自然 是 分 布 的 。 图 17-4 中 说 明 的 顶层 分 解 显示 四 个 部 件 显然 能 在 不 同 的 进程 上 执 
行 〈( 见 练习 17.4)。 

在 第 14 章 注意 到 Ada 不 定义 部 分 失效 程序 的 失效 语义 。 然而 , 当 它 不 能 同 远程 划分 联系 时 ， 
会 由 底层 实现 引发 一 个 异常 Communication Error, 

已 经 假设 所 有 短暂 的 通信 失效 会 由 底层 分 布 式 系统 的 实现 屏 项 掉 。 如 果 有 一 个 较 持 久 的 
失效 发 生 ， 那么 应 该 由 实现 引发 一 个 能 由 应 用 处 理 的 合适 异常 。 例如 ， 对 Is_Safe 的 远程 调 
用 产生 了 一 个 异常 ， 水 泵 就 应 当 禁 止 操作 。 

17.6.3 其 他 硬件 失效 


上 面 假设 只 有 处 理 器 和 通信 子 系统 会 失效 。 显然， 同样 会 有 传感器 的 失效 〈 或 是 由 于 退 
化 ， 或 是 由 于 损坏 )。 在 本 章 介绍 的 例子 中 ， 设 有 试图 去 提高 传感器 的 可 靠 性 ， 因 为 本 书 只 仅 
仅 触及 硬件 宛 余 技术 。 一 种 方法 是 复制 每 个 传感器 ， 并 且 由 不 同 的 任务 控制 每 一 个 复制 品 。 
这 些 任务 必须 进行 通信 以 比较 结果 。 这 些 结果 不 可 避免 地 会 有 轻微 的 不 同 ， 所 以 会 需要 某 种 
形式 的 匹配 算法 。 
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小 结 


本 案例 研究 已 经 包括 了 本 书 中 讨论 的 某 些 问题 。 令 人 遗憾 的 是 ， 一 个 单独 的 、 相 对 小 的 
应 用 不 能 运用 已 经 讲 到 的 所 有 重要 概念 。 尤 其 是 显然 不 可 能 在 这 个 背景 中 致力 于 大 小 和 复杂 
性 的 问题 。 

不 过 ， 和 希望 这 个 案例 研究 有 助 于 巩固 读者 对 许多 问题 的 理解 ， 例 如 ; 

。 自 顶 向 下 设计 和 分 解 

。 并 发 性 和 Ada 的 进程 间 通 信和 模型 

* 向 前 出 错 恢复 技术 和 容错 设计 

。 周 期 和 偶发 进程 

。 优 先 级 分 配 和 调度 分 析 

* 分布 式 程序 设计 
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Joseph, M. (ed.) (1996). Real-Time Systems: Specification, Verification and Analysis. 
Englewood Cliffs, NJ: Prentice Hall. 


Shrivastava, S. K., Mancini, L. and Randell, B. (1987) On The Duality of Fautt Toler- 
ant Structures. Berlin: Springer-Verlag, pp. 19-37. 


Sloman, M. and Kramer, J. (1987) Distributed Systems and Computer Networks. En- 
glewood Cliffs, NJ: Prentice Hall, 


练习 


17.1 如 果 矿 井中 渗水 的 速度 和 水 泵 抽水 的 速度 差不多 ， 就 可 能 产生 许多 次 高 水 位 中 断 。 这 会 
影响 软件 的 行为 吗 ? 

17.2 在 这 个 矿井 控制 系统 设计 中 所 给 出 的 任务 交互 里 面 ， 确 认 哪 些 交 互 必须 是 原子 动作 。 怎 
么 将 这 个 解决 方案 修改 以 支持 这 些 动作 ? 

17.3 本 章 中 给 出 的 所 有 周期 性 任务 都 有 类 似 的 结构 。 它 们 能 被 表示 成 一 个 单独 的 类 属 任务 
(封装 在 一 个 包 中 ) 的 实例 或 参数 化 任务 的 实例 吗 ? 

17.4 修改 本 章 中 给 出 的 解决 方案 ， 使 之 能 在 分 布 式 环境 中 执行 。 假 设 图 17-4 中 给 出 的 每 个 顶 
层 任务 是 主动 划分 。 

17.5 练习 17.4 的 答案 的 时 间 特 性 可 被 分 析 到 什么 程度 ? 

17.6 数据 记录 器 可 以 确定 已 发 生 事件 的 实际 次 序 吗 ? 如果 不 能 ， 怎 么 修改 代码 使 之 给 出 一 个 
有 效 的 全 局 排序 ?分 布 式 实现 的 隐 含 意义 是 什么 ? 

17.7 在 矿井 控制 系统 的 这 个 分 析 中 ， 时 钟 以 100ms (或 10ms) 运行 的 后 果 是 什么 9 

178 在 矿井 控制 任务 集合 上 进行 敏感 性 分 析 。 依 次 考虑 每 个 任务 ， 它 们 的 计算 时 间 必 须 增加 
多 少 ， 才 能 使 该 任务 集合 成 为 不 可 调度 的 。 用 原始 C 值 的 百分比 来 表示 这 个 信 。 

179 如 果 CO 传 感 器 和 气流 传感器 的 时 限 都 是 50， 那 么 系统 会 是 不 可 调度 的 。 怎 样 使 两 个 传 感 
器 有 同样 的 周期 以 得 到 一 个 可 调度 系统 ? 
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实时 系统 的 显著 特征 是 其 正确 性 不 仅仅 是 程序 执行 的 逻辑 结果 的 函数 ， 而 且 是 产生 这 些 
结果 的 时 间 的 函数 。 这 个 特征 使 实时 系统 的 研究 非常 不 同 于 其 他 计算 领域 。 许 多 实时 系统 的 
重要 性 还 赋予 实践 人 员 独 特 的 责任 。 随 着 越 来 越 多 的 计算 机 被 嵌入 到 工程 应 用 中 ， 人 类 的 风 
险 、 生 态 灾难 或 经 济 灾难 就 更 大 了 。 这 些 风险 来 自 于 不 能 去 证 明 (或 至 少 是 可 信 地 论证 ) 所 
有 时 间 性 的 和 功能 性 的 约束 会 在 所 有 情况 下 都 满足 。 

实时 系统 可 以 以 多 种 方式 分 类 。 第 一 种 是 按 应 用 能 够 容忍 系统 响应 缓慢 的 程度 。 那 些 有 
一 些 灵活 性 的 叫做 软 实时 系统 ， 那 些 具有 时 间 严格 性 的 称 为 及 实时 系统 。 三 小 时 的 时 限 可 能 
是 硬 的 ， 但 容易 达到 ; 而 三 微 秒 (ERA) 的 时 限 给 开发 者 提出 了 相当 大 的 难度 。 时 限 或 响 
应 时 间 非 常 短 的 系统 经 常 称 为 实 实时 系统 。 

非 实时 系统 几乎 可 以 无 限 地 等 待 处 理 器 和 其 他 系统 资源 。 只 要 系统 具有 活性 ， 它 就 适当 
地 执行 。 实 时 系统 不 是 这 种 情形 。 因 为 时 间 是 受 限 的 ， 而 处 理 器 又 不 是 无 限 快 的 ， 一 个 实时 
程序 必须 被 看 作 是 在 具有 有 限 资源 的 系统 上 执行 。 所 以 ， 就 必须 在 来 自 同一 程序 的 不 同 部 分 
的 竞争 请 求 之 问 调度 这 些 资源 的 使 用 。 这 远 不 是 一 件 微小 的 琐事 。 

典型 的 现代 实时 系统 的 其 他 特征 是 : 

* 它们 经 常 在 地 理 上 是 分 布 的 

+ 它们 可 能 包含 非常 大 而 复杂 的 软件 部 件 

* 它们 必须 同 并 发 的 现实 世界 实体 交互 

* 它们 可 能 包含 一 些 受制 于 价格 、 尺 寸 或 重量 约束 的 处 理 要 素 

从 大 多 数 实时 应 用 的 本 性 得 出 ， 存 在 着 对 于 高 可 靠 性 的 严格 要 求 。 这 一 点 可 以 被 正式 表 
述 为 对 可 依赖 性 和 安全 性 的 需要 。 在 计算 机 系统 及 其 当前 环境 之 间 存 在 着 几乎 是 共生 的 关系 。 
没有 另 一 个 ， 任 何 一 个 都 不 能 工作 ， 像 电 操纵 式 飞机 一 样 。 为 了 给 出 高 可 靠 性 ， 需 要 容错 的 
硬件 和 软件 。 需 要 容许 功能 缺失 和 错过 时 限 (甚至 是 对 硬 实时 系统 )。 

时 间 性 需求 、 受 限 资源 、 并 发 环境 实体 和 高 可 靠 性 需求 (连同 分 布 式 处 理 ) 的 组 合 向 系 
统 工程 师 提出 了 特有 的 问题 。 实 时 系统 工程 现在 被 认识 到 是 一 个 不 同 的 学 科 。 它 有 自己 的 知 
识 本 体 和 理论 基础 。 从 对 大 型 实时 系统 科学 的 理解 看 ， 将 出 现下 列 的 研究 内 容 : 

* 可 以 捕获 时 间 性 和 容错 需求 的 规格 说 明 技术 

* 以 时 间 性 需求 为 核心 的 和 能 够 处 理 提供 容错 和 分 布 方法 的 设计 方法 

“ 能 用 于 实现 这 些 设计 的 编程 语言 和 操作 系统 

本 书 已 经 过 论 了 实时 系统 的 特征 和 需求 容错 技术 、 并 发 性 模型 、 与 时 间 有 关 的 语言 特 
性 、 资 源 控制 和 低级 编程 技术 。 通 贯 全 书 ， 主 要 讲解 并 发 实时 语言 提供 的 设施 ， 尤 其 是 Ada 
Java. 《及 其 实时 扩展 ) C. (增补 以 POSIX 实 时 和 线程 扩展 ) 和 occam2。 表 18-1 总 结 了 这 些 语 
言 提供 的 设施 。 

人 8 代 然 是 高 完整 性 系统 和 有 硬 实时 约束 的 系统 最 合适 的 语言 。 实 时 Java 现 正 以 其 表达 能 
了 由? 竞争 ， 然 而 ， 还 要 再 看 一 看 是 否 能 将 其 实现 得 足够 高 效 ， 足 以 用 于 有 效 的 实际 部 时 
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确实 ,可 能 是 这 种 情形 : 实时 Java 作 为 语言 是 合适 的 ， 但 实时 Java 作 为 虚拟 机 却 不 合适 。 所 以 ， 
或 者 是 程序 需要 编译 而 不 是 解释 ， 或 者 是 需要 硬件 辅助 的 虚拟 机 器 。 可 能 实时 Java 比 Ada 做 得 
好 的 是 支持 更 加 动态 的 软 实时 系统 。 实 时 Java 正 是 在 这 种 应 用 领域 找到 它 的 初步 应 用 ， 特 别 
是 在 可 移植 性 很 重要 的 应 用 中 。 

C 语 言 ， 扩 展 以 实时 操作 系统 (遵照 或 不 遵照 POSIX) 将 继续 被 用 于 那些 有 资源 约束 的 小 
型 嵌入 式 系统 。 对 比 之 下 ,对 occam2 的 使 用 将 继续 碱 少 。 在 学 术 上 ， 它 有 一 些 有 趣 的 性 质 ， 
但 它 缺 乏 对 大 型 编程 的 支持 ， 这 宣告 它 只 不 过 是 一 个 深奥 的 语言 。 

在 过 去 五 年 里 有 一 个 趋势 一 -在 可 预见 的 将 来 还 会 继续 一 一 即 在 一 个 应 用 中 使 用 一 种 以 上 
的 语言 。 这 是 需要 使 用 遗留 代码 的 结果 ， 也 因为 认识 到 对 应 用 中 所 有 的 类 使 用 同一 语言 是 不 
适宜 的 。 例 如 ， 一 个 实时 应 用 有 一 个 重要 的 用 户 接口 部 件 ， 可 能 是 用 Ada 和 Java 混 合 写 的 。 一 
个 “智能 ”的 实时 系统 可 能 需要 基于 规则 的 部 件 ， 而 对 这 种 部 件 最 适宜 的 语言 可 能 是 Prolog。 


表 18-1 Ada、 实 时 Java、C/POSIX 和 occam2 提 供 设施 的 总 结 


Ada 实时 Java C/POSIX occam2 
对 大 型 编程 的 支持 & 包 文件 
类 属 HH 
对 并 发 编程 的 支持 。 ”任务 线程 进程 进程 
会 合 同步 方法 和 语句 ”线程 会 合 
保护 类 型 HRS 
对 在 分 布 式 环境 中 RPC 远程 方法 待定 义 分 布 式 进程 
执行 的 支持 划分 分 布 式 对 象 
分 布 式 对 象 
容错 编程 的 设施 异常 异常 信号 无 
ATC ATC 
事件 
实时 设施 时 钟 和 延迟 时 钟 和 定时 器 时 钟 和 定时 器 时 钟 和 延迟 
调度 设施 国有 优先 级 模型 固有 优先 级 模型 固有 优先 级 模型 受 限 优 先 级 模型 
动态 优先 级 动态 优先 级 动态 优先 级 静态 优先 级 
设备 处 理 的 模型 共享 存储 器 有 限 的 共享 存储 器 HEY 消息 传递 
执行 环境 受 限 的 任务 性 ATAC ETE 剖面 传输 机 





为 了 给 出 实时 系统 的 一 个 实际 例子 ， 本 书 描述 了 一 个 案例 研究 。 这 必然 是 一 个 相对 小 的 
系统 。 然 而 实时 计算 面 对 的 许多 挑战 是 只 在 大 且 复 杂 的 应 用 中 呈现 的 。 为 了 给 出 在 不 远 的 将 
来 要 部 署 的 这 类 系统 的 一 个 印象 ， 考 虑 一 下 国际 空间 站 。 它 的 计算 机 的 基本 功能 是 对 使 命 和 
生命 的 支持 。 其 他 活动 包括 飞行 控制 (特别 是 轨道 传输 载体 ) 、 外 部 监控 、 实 验 的 控制 和 协调 
以 及 使 命 数据 库 的 管理 。 机 载 软件 的 特别 重要 的 方面 是 它 呈 现 给 飞行 人 员 的 界面 。 

空间 站 的 机 载 执行 环境 有 下 列 有 关 特 性 : 

* 它 大 而 复杂 ( 即 有 大 量 形形色色 的 要 计算 机 处 理 的 活动 ) 

* 它 必须 不 停 地 执行 

* 它 有 很 长 的 操作 寿命 (可 能 超过 30 年 ) 

* 它 将 经 历 进 化 式 的 软件 更 改 (不 用 停 下 来 ) 

* 它 必须 有 高 可 依赖 的 执行 

* 它 的 有 些 部 件 有 硬 的 或 软 的 实时 时 限 
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。 分 布 式 系统 将 包括 异 质 处 理 器 
为 了 迎接 这 类 应 用 的 挑战 ， 实 时 系统 科学 必须 发 展 自己 。 还 有 许多 研究 课题 要 探索 。 甚 至 连 
认识 当前 状态 一 一 它们 已 经 成 为 本 书 的 关注 焦点 一 一 都 难以 实践 。 在 对 “下 一 代 ” 实 时 系统 的 
探索 中 ，Stankovic 确 认 了 若干 研究 问题 (Stankovic，1988 ) 。 虽 然 自 1988 年 以 来 已 经 取得 了 
很 大 进展 ， 下 列 研究 课题 对 于 这 门 学 科 的 发 展 依然 是 极其 重要 的 : 

* 规格 说 明和 验证 技术 ， 要 能 够 处 理 有 大 量 交互 部 件 的 实时 系统 的 需要 。 

*。 从 设计 过 程 一 开始 就 考虑 时 间 性 质 的 设计 方法 学 。 

。 有 表达 与 时 间 有 关 行 为 的 构造 的 编程 语言 ( 龙 其 与 分 布 计 算 有 关 的 )。 

* 能够 处 理 复杂 进程 结构 和 资源 约束 、 各 种 粒度 的 时 间 性 需求 和 概率 性 保证 的 调度 算法 。 

。 实 时 排队 模型 。 

* 为 处 理 容错 资源 使 用 而 设计 的 运行 时 支持 或 操作 系统 功能 。 

* 预测 复杂 现代 处 理 器 上 软件 最 坏 情 况 和 平均 执行 时 间 的 工具 支持 。 

。 最 坏 情 况 和 平均 情况 性 能 度量 的 集成 。 

* 高 效 处 理 那些 需要 在 Internet 上 及 时 交付 的 消息 的 通信 体系 结构 和 协议 。 

。 容错 和 动态 重 配置 的 体系 结构 支持 。 

“人 工 智能 〈 例 如 机 器 学 习 ) 部 件 的 集成 支持 。 

* 对 原子 动作 、 恢 复 块 、 会 话 和 群 通信 协议 的 编程 语言 和 操作 系统 支持 。 

* 对 更 改 管理 有 显 式 支持 的 编程 语言 ( 即 在 不 停止 的 系统 上 进行 软件 升级 的 能 力 )。 

* 支持 有 严格 时 间 性 约束 的 实时 应 用 “编写 一 次 、 到 处 运行 ”的 实时 虚拟 机 。 

* 使 应 用 能 进行 配合 以 响应 环境 改变 的 实时 反应 式 (自修 改 ) 体系 结构 。 688 

希望 本 书 的 一 些 读者 能 对 这 些 研究 课题 有 所 贡献 。 689 








附录 实时 Java 规 格 说 明 


本 附录 包含 本 书 中 讨论 的 实时 Java 类 的 规格 说 明 。 这 些 规格 说 明 与 文献 (Bollella 等 ， 
2000) 一 书 中 的 一 致 。 但 是 ， 应 该 注意 到 实时 Java 是 在 不 断 演 化 的 ， 而 且 ， 在 写本 书 时 ， 还 
设 有 用 实现 测试 它 。 因 此 读者 应 该 参考 实时 Java 专 家 组 的 网 站 (http: //www.rtj.org/) 以 了 解 
这 个 项 目的 当前 状态 。 

这 个 规格 说 明 按 字母 顺序 给 出 类 头 。 注 意 ， 虽 然 phread 和 ThreadGroup 类 不 是 实时 
Java 规 格 说 明 的 一 部 分 ， 但 仍然 在 这 个 附录 中 给 出 。 


A.1 AbsoluteTime 


package javax.realtime; 
public class AbsoluteTime extends HighResolutionTime 
( 

// constructors 

public AbsoluteTime(); 

public AbsoluteTime (AbsoluteTime time); 

public AbsoluteTime(java.util.Date date); 

public AbsoluteTime(long millis, int nanos); 


// methods 
public AbsoluteTime absolute(Clock clock, AbsoluteTime destination); 
public AbsoluteTime add(long millis, int nanos); 
public AbsoluteTime add(long millis, int nanos, 
AbsoluteTime destination); 
public final AbsoluteTime add(RelativeTime time); 
public AbsoluteTime add(RelativeTime time, 
AbsoluteTime destination); 
public java.util.Date getDate(); 
public void set(java.util.Date date); 
public final RelativeTime subtract (AbsoluteTime time); 
public RelativeTime subtract(AbsoluteTime time, 
RelativeTime destination); 
public final AbsoluteTime subtract (RelativeTime time); 
public AbsoluteTime subtract (RelativeTime time, 
AbsoluteTime destination); 
public java.lang.String toString(); 


A.2 AperiodicParameters 


package javax.realtime; 
public class AperiodicParameters extends ReleaseParameters 


{ 


// constructors 
public AperiodicParameters (RelativeTime cost, RelativeTime deadline, 
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AsyncEventHandler overrunHandler, 
AsyncEventHandler missHandler) ; 


A.3 AsyncEvent 


package javax.realtime; 
public class AsyncEvent 
{ 
// constructors 
public AsyncEvent () ; 


// methods 

public synchronized void addHandler (AsyncEventHandler handler) ; 
public void bindTo(java.lang.String happening) ; 

public ReleaseParameters createReleaseParameters(); 

public synchronized void fire(); 

public boolean handledBy (AsyncEventHandler target); 

public synchronized void removeHandler (AsyncEventHandler handier) ; 
public void setHandler (AsyncEventHandler handler); 


A.4 AsyncEventHandler 


package javax.realtime; 
public abstract class AsyncEventHandler implements Schedulable 


{ 

//constructors 

public AsyncEventHandler(); 

public AsyncEventHandler (boolean nonheap); 

public AsyncEventHandler (SchedulingParameters Scheduling, 
ReleaseParameters release, MemoryParameters memory, 
MemoryArea area, ProcessingGroupParameters group); 

public AsyncEventHandler (SchedulingParameters scheduling, 
ReleaseParameters release, MemoryParameters memory, 
MemoryArea area, ProcessingGroupParameters group, 
boolean nonheap) ; 


//methods 

public void addToFeasibility(); 

protected final synchronized int getAndClearPendingFireCount (); 
protected synchronized int getAndDecrement PendingFireCount () ; 
protected synchronized int getAndIncrement PendingFireCount () ; 
public MemoryArea getMemoryArea(); 

public MemoryParameters getMemoryParameters(); 

public ProcessingGroupParameters getProcessingGroupParameters(); 
public ReleaseParameters getReleaseParameters(); 

public Scheduler getScheduler(); 

public SchedulingParameters getSchedulingParameters (); 

public abstract void handleAsyncEvent () ; 

public void removeFromFeasibility(); 

Public final void run(); 


WR 
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public void setMemoryParameters (MemoryParameters memory); 
public void setProcessingGroupParameters( 
ProcessingGroupParameters parameters); 
public void setReleaseParameters(ReleaseParameters parameters); 
public void setScheduler(Scheduler scheduler); 
public void setSchedulingParameters ( 
SchedulingParameters parameters); 


A.5  AsynchronouslyinterruptedException 


package javax.realtime; 

public class AsynchronouslyInterruptedException 
extends java.lang.InterruptedException 

{ 


// constructors 
public AsynchronouslyInterruptedException(); 


// methods 

public synchronized boolean disable(); 

public boolean doInterruptible (Interruptible logic); 

public synchronized boolean enable(); 

public synchronized boolean fire(); 

public static AsynchronouslyInterruptedException getGeneric(); 
public boolean happened (boolean propagate); 

public boolean isEnabled(); 

public void propagate(); 


A.6  BoundAsyncEventHandler 


package javax.realtime; 

public abstract class BoundAsyncEventHandler 
extends AsyncEventHandler 

{ 


// constructors 

public BoundAsyncEventHandler() ; 

public BoundAsyncEventHandler (SchedulingParameters scheduling, 
ReleaseParameters release, MemoryParameters memory, 


MemoryArea area, ProcessingGroupParameters group, 
boolean nonheap) ; 


A.7 Clock 


package javax.realtime; 
public abstract class Clock 
{ 


// constrcutors 
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public Clock(); 

// methods 

public static Clock getReaitimeClock(); 

public abstract RelativeTime getResolution(); 

public AbsoluteTime getTime(); 

public abstract void getTime(AbsoluteTime time); 

public abstract void setResolution(RelativeTime resolution); 


A.8 HighResolutionTime 


package javax.realtime; 
public abstract class HighResolutionTime 
implements java.lang.Comparable 


{ 


// methods 


public 


public 
public 
public 
public 
public 
public 
public 
public 
‘public 
public 


abstract AbsoluteTime absolute (Clock clock, 
AbsoluteTime destination) ; 

int compareTo(HighResolutionTime time); 

int compareTo(java.lang.Object object); 

boolean equals (HighResolutionTime time); 

boolean equals (java.lang.Object object); 

final long getMilliseconds(); 

final int getNanoseconds(); 

int hashCode(); 

void set (HighResolutionTime time); 

void set (long millis); 

void set (long millis, int nanos); 


A.9 ImmortalMemory 


package javax.realtime; 
public final class ImmortalMemory extends MemoryArea 


{ 


// methods 


public 
} 


Static ImmortalMemory instance (); 


A.10 ImportanceParameters 


package javax.realtime; 
public class ImportanceParameters extends PriorityParameters 


{ 


// constructors 


public 


ImportanceParameters (int priority, int importance) ; 
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// methods 

public int getImportance(); 

public void setImportance (int importance); 
public java.lang.String toString(); 


A.11 Interruptible 


package javax.realtime; 
public interface Interruptible 
{ 
public void interruptAction ( 
AsynchronouslyInterruptedException exception); 
public void run(AsynchronouslyInterruptedException exception) 
throws AsynchronouslyInterruptedException; 


A.12 LTMemory 


public class LTMemory extends ScopedMemory 
{ 
//constructors 
public LTMemory(long initialSizeInBytes, long maxSizeInBytes); 


) 


A.13 MemoryArea 


public abstract class MemoryArea 

{ 
// constructors . 
protected MemoryArea (long sizeInBytes); 


// methods 

public void enter(java.lang.Runnable logic); 

public static MemoryArea getMemoryArea (java.lang.Object object); 

public long memoryConsumed () ; 

public long memoryRemaining(); 

public synchronized java.lang.Object newArray ( 
java.lang.class type, int number) 
throws IllegalAccessException, InstantiationException, 
OutOfMemoryError; 

public synchronized java.lang.Object newInstance( 
java.lang.class type) 
throws IllegalAccessException, InstantiationException, 
OutOfMemoryError; 

public long size(); 
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A.14 MemoryParameters 


public class MemoryParameters 


{ 


// fields 
public static final long NO MAX; 


// constructors 
public MemoryParameters (long maxMemoryArea, long maxImmortal) 
throws IllegalArgumentException; 


public MemoryParameters (long maxMemoryArea, long maxImmortal, 
long allocationRate) 
throws IllegalArgumentException; 


// methods 

public long getAllocationRate(); 

public long getMaxImmortal(); 

public long getMaxMemoryArea(); 

public void setAllocationRate (long rate); 
public boolean setMaxImmortal (long maximum); 
public boolean setMaxMemoryArea (long maximum) ; 


A.15 MonitorContro! 


package javax.realtime; 
public abstract class MonitorControl 


{ 


// constructors 
public MonitorControl(); 


// methods 
public static void setMonitorControl (MonitorControl policy); 


public static void setMonitorControl {java.lang.Object monitor, 


MonitorControl policy); 


A.16 NoHeapRealtimeThread 


package javax.realtime; 
public class NoHeapRealtimeThread extends RealtimeThread 


{ 


//constructors 
public NoHeapRealt imeThread (SchedulingParameters scheduling, 
MemoryArea area) throws IllegalArgument Exception; 


public NoHeapRealt imeThread (SchedulingParameters scheduling, 
ReleaseParameters release, MemoryArea area) 
throws IllegalArgument Exception; 


public NoHeapRealt imeThread (Schedul ingParameters scheduling, 
ReleaseParameters release, MemoryParameters memory, 
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MemoryArea area, ProcessingGroupParameters group, 
java.lang.Runnable logic) 
throws IllegalArgumentException; 


A.17 OneShotTimer 


package javax.realtime; 
public class OneShotTimer extends Timer 
{ 
// constructors 
public OneShotTimer (HighResolutionTime time, 
AsyncEventHandler handler) ; 
public OneShotTimer (HighResolutionTime start, Clock clock, 
AsyncEventHandler handler); 


A.18 PeriodicParameters 


package javax.realtime; 
public class PeriodicParameters extendg ReleaseParameters 
{ 
// constructors 
public PeriodicParameters (HighResolutionTime start, 
RelativeTime period, RelativeTime cost, 
RelativeTime deadline, AsyncEventHandler overrunHandler, 
AsyncEventHandler missHandler); 


// methods 

public RelativeTime getPeriod(); 

public HighResolutionTime getStart(); 

public void setPeriod(RelativeTime period); 
public void setStart (HighResolutionTime start); 


A.19 PeriodicTimer 


package javax.realtime; 
public class PeriodicTimer extends Timer 
{ 
// constructors 
public PeriodicTimer (HighResolutionTime start, 
RelativeTime interval, 
AsyncEventHandler handler); 
public PeriodicTimer (HighResolutionTime start, 
RelativeTime interval, 
Clock clock, AsyncEventHandler handler) ; 


// methods 
public ReleaseParameters createReleaseParameters (); 
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public void fire(); 

public AbsoluteTime getFireTime(); 

public RelativeTime getInterval(); 

public void setInterval(RelativeTime interval); 


A.20 POSIXSignalHandler 


package javax.realtime; 

public final class POSIXSignalHandler 

{ 
// fields 
public static final int SIGABRT; 
public static final int SIGALRM; 
public static final int SIGBUS; 
public static final int SIGCANCEL; 
public static final int SIGCHLD; 
public static final int SIGCLD; 
public static final int SIGCONT; 
public static final int SIGEMPT; 
public static final int SIGFPE; 
public static final int SIGFREEZE; 
public static final int SIGHUP; 
public static final int SIGILL; 
public static final int SIGINT; 
public static final int SIGIO; 
public static final int SIGIOT; 
public static final int SIGKILL; 
public static final int SIGLOST; 
public static final int SIGLWP; 
public static final int SIGPIPE; 
public static final int SIGPOLL; 
public static final int SIGPROF; 
public static final int SIGPWF; 
public static final int SIGQUIT; 
public static final int SIGSEGV; 
public static final int SIGSTOP; 
public static final int SIGSYS; 
public static final int SIGTERM; 
public static final int SIGTHAW; 
public static final int SIGTRAP; 
public static final int SIGTSTP; 
public static final int SIGTTIN; 
public static final int SIGTTOU; 
public static final int SIGURG; 
public static final int SIGUSR1; 
public static final int SIGUSR2; 
public static final int SIGVTALRM; 
public static final int SIGWINCH; 
public static final int SIGXCPU; 
public static final int SIGXFSZ; 
// methods 
public static synchronized void addHandler (int Signal, 

AsyncEventHandler handler); 
public static synchronized void removeHandler (int 
AsyncEventHandler handler); 

public static synchronized void setHandler (int Signal, 


Signal 
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AsyncEventHandler handler); 


A.21 PriorityCeilingEmulation 


package javax.realtime; 
public class PriorityCeilingEmulation extends MonitorControl 


{ 
// constructors 
public PriorityCeilingEmulation (int ceiling); 


// methods 
public int getDefaultCeiling(); 


A.22 Priorityinheritance 


package javax.realtime; 
public class PriorityInheritance extends MonitorControl 


{ 
// constructors 
public PriorityInheritance(); 


// methods 
public static PriorityInheritance instance (); 


A.23 PriorityParameters 


package javax.realtime; 
public class PriorityParameters extends SchedulingParameters 


{ 


// constructors 
public PriorityParameters (int priority); 


// methods 

public int getPriority(); 

public void setPriority(int priority) throws IllegalArgumentException; 
public java.lang.String toString(); 


A.24 PriorityScheduler 


package javax.realtime; 
public class PriorityScheduler extends Scheduler 


{ 


// constructors 
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public 


PriorityScheduler() ; 


// methods 
protected void addToFeasibility(Schedulable schedulable); 
boolean changeIfFeasible(Schedulable schedulable, 


public 
public 
public 
public 
public 
public 
public 
public 
public 
public 


ReleaseParameters release, MemoryParameters memory); 
void fireSchedulable(Schedulable schedulable) ; 

int getMaxPriority(); 

static int getMaxPriority(java.lang.Thread thread); 
int getMinPriority(); 

static int getMinPriority(java.lang.Thread thread); 
int getNormPriority(); 

Static int getNormPriority(java.lang.Thread thread); 
java.lang.String getPolicyName(); 

static PriorityScheduler instance(); 

boolean isFeasible(); 


protected void removeFromFeasibility(Schedulable schedulable); 


* 


A.25 ProcessingGroupParameters 


package javax.realtime; 
public class ProcessingGroupParameters 


{ 


// constructors 


public 


ProcessingGroupParameters (HighResolutionTime start, 
RelativeTime period, RelativeTime cost, 


RelativeTime deadline, AsyncEventHandler overrunHandler, 


AsyncEventHandler missHandler) ; 


// methods 


public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 


RelativeTime getCost (); 

AsyncEventHandler getCostOverrunHandler (); 
RelativeTime getDeadline(); 

AsyncEventHandler getDeadlineMissHandler|(); 
RelativeTime getPeriod(); 

HighResolutionTime getStart(); 

void setCost (RelativeTime cost); 

void setCostOverrunHandler (AsyncEventHandler handler); 
void setDeadline (RelativeTime deadline); 

void setDeadlineMissHandler (AsyncEventHandler handler); 
void setPeriod(RelativeTime period); 

void setStart (HighResolutionTime start); 


A.26 RationalTime 


package javax.realtime; 
public class RationalTime extends RelativeTime 


( 


// constructors 


public 
public 


RationalTime (int frequency); 


RationalTime (int frequency, long millis, int nanos) 
throws IllegalArgumentException; 
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public RationalTime(int frequency, RelativeTime interval) 
throws IllegalArgumentException; 


// methods 
public AbsoluteTime absolute(Clock clock, AbsoluteTime destination) ; 
public void addInterarrivalTo(AbsoluteTime destination); 
public int getFrequency (; 
public RelativeTime getInterarrivalTime(RelativeTime destination); 
public void set (long millis, int nanos) 
throws IllegalArgumentException; 
public void setFrequency(int frequency) 
throws ArithmeticException; 


A.27 RawMemoryAccess 


package javax.realtime; 
public class RawMemoryAccess 
{ 
// constructors 
protected RawMemoryAccess (long base, long size); 
protected RawMemoryAccess (RawMemoryAccess memory, long base, 
long size); 


// methods 

public static RawMemoryAccess create(java.lang.Object type, 
long size) throws SecurityException, OffsetOutOfBoundsException, 
SizeOutOfBoundsException, UnsupportedPhysicalMemoryException; 


public atatic RawMemoryAccess create(java.lang.Object type, 
long base, long size) 
throws SecurityException, OffsetOutOfBoundsException, 
SizeOutOfBoundsException, UnsupportedPhysicalMemoryException; 


public byte getByte(long offset) throws SizeOutOfBoundsException, 
OffsetOutOfBoundsException; 
public void getBytes(long offset, byte[] bytes, int low, 
int number) throws 
SizeOutOfBoundsException, OffsetOutOfBoundsException; 
public int getInt(long offset) throwg SizeOutOfBoundsException, 
OffsetOutOfBoundsException; 
public void getInts(long offset, int[] ints, int low, 
int number) throws 
SizeOutOfBoundsException, OffsetOutOfBoundsException; 
public long getLong(long offset) throws SizeOutOfBoundsException, 
OffsetOutOfBoundsException; 
public void getLongs (long offset, long[] longs, int low, 
int number) throws 
SizeOutOfBoundsException, OffsetOutOfBoundsException; 
public long getMapped Address(); 
public short getshort (long offset) throws SizeOutOfBoundsException, 
OffsetOutOfBoundsException; 
public void getshorts (long offset, Short[] shorts, int low, 
int number) throws 


SizeOutOfBoundsException, OffsetOutOfBoundsException; 
Public long map(); 


public long map(long base); 
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public 
public 


public 


public 


public 


public 


public 


public 


public 


public 


long 
void 


void 


void 


void 


void 


void 


void 


void 


void 


map(long base, long size); 
setByte(long offset, byte value) throws 
SizeOutOfBoundsException, OffsetOutOfBoundsException; 
setBytes(long offset, byte[] bytes, int low, 

int number) throws 
SizeOutOfBoundsException, OffsetOutOfBoundsException; 
setInt(long offset, int value) throws a 
SizeOutOfBoundsException, OffsetOutOfBoundsException; 
setInts(long offset, int[] ints, int low, 

int number) throws 
SizeOutOfBoundsException, OffsetOutOfBoundsException; 
setLong(long offset, long value) throws 
SizeOutOfBoundsException, OffsetOutOfBoundsException; 
setLongs (long offset, long[] longs, int low, 

int number) throws 
SizeOutOfBoundsException, OffsetOutOfBoundsException; 
setShort (long offset, short value) throws 
SizeOutOfBoundsException, OffsetOutOfBoundsException; 
setShorts(long offset, short[] shorts, int low, 

int number) throws 
SizeOutOfBoundsException, OffsetOutOfBoundsException; 
unmap(); 


A.28 Realtime Security 


package javax.realtime; 
public class RealtimeSecurity 


{ 


// constructors 
public RealtimeSecurity(); 


// methods 
public void checkAccessPhysical() throws 

SecurityException; 

public void checkAccessPhysicalRange (long base, long size) throws 
SecurityException; 

public void checkSetFactory() throws 

SecurityException; 

public void checkSetScheduler() throws 

SecurityException; 


A.29 Realtime System 


package javax.realtime; 
public class RealtimeSystem 


{ 


// fields 
public static final byte BIG ENDIAN; 
Public static final byte BYTE ORDER; 
Public static final byte LITTLE ENDIAN; 
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// methods 


public 
public 
public 
public 
public 
public 
public 


static GarbageCollector currentGC(); 

int getConcurrentLocksUsed(); 

int getMaximumConcurrentLocks(); 

static RealtimeSecurity getSecurityManager(); 

void setMaximumConcurrentLocks (int number); 

void setMaximumConcurrentLocks (int number, boolean hard); 
static voidgetSecurityManager (RealtimeSecurity manager) throws 
SecurityException; 


A.30 RealtimeThread 


package javax.realtime; 
public class RealtimeThread extends java.lang.Thread 
implements Schedulable 


{ 


// constructors 


public 
public 
public 


public 


RealtimeThread(); 
RealtimeThread (SchedulingParameters Scheduling); 
RealtimeThread (SchedulingParameters Scheduling, 
ReleaseParameters release); 
RealtimeThread (SchedulingParameters Scheduling, 
ReleaseParameters release, MemoryParameters memory, 
MemoryArea area, ProcessingGroupParameters group, 
java.lang.Runnable logic); 


// methods 


public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 


public 
public 


public 
public 
public 


public 


void addToFeasibility(); 
Static RealtimeThread currentRealtimeThread(); 
synchronized void deschedulePeriodic(); 
MemoryArea getMemoryArea(); 
MemoryParameters getMemoryParameters(); 
ProcessingGroupParameters getProcessingGroupParameters(); 
ReleaseParameters getReleaseParameters(); 
Scheduler getScheduler(); 
SchedulingParameters getSchedulingParameters(); 
synchronized void interrupt (); 
void removeFromFeasibility(); 
synchronized void schedulePeriodic(); 
void setMemoryParameters (MemoryParameters parameters); 
void setProcessingGroupParameters( 

ProcessingGroupParameters parameters); 
void setReleaseParameters (ReleaseParameters parameters); 
void setScheduler (Scheduler scheduler) 
throws IllegalThreadStateException; 
void setSchedulingParameters ( 

SchedulingParameters scheduling) ; 
static void sleep(Clock clock, HighResolutionTime time) 
throws InterruptedException; 
static void sleep(HighResolutionTime time) 
throws InterruptedException; 
boolean waitForNextPeriod() 
throws IllegalThreadStateException 


了 
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A.31 RelativeTime 


package javax.realtime; 
public class RelativeTime extends HighResolutionTime 
{ 

// constructors 

public RelativeTime () ; 

public RelativeTime(long millis, int nanos); 

public RelativeTime(RelativeTime time); 


// methods 
public AbsoluteTime absolute(Clock clock, 

AbsoluteTime destination); 
public RelativeTime add(long millis, int nanos); 
public RelativeTime add(long millis, int nanos, 

RelativeTime destination); 

public final RelativeTime add(RelativeTime time); 
public RelativeTime add(RelativeTime time, RelativeTime destination); 
public void addInterarrivalTo (AbsoluteTime destination); 
public RelativeTime getInterarrivalTime (RelativeTime destination); 
public final RelativeTime subtract (RelativeTime time); 
public RelativeTime subtract (RelativeTime time, 

RelativeTime destination); 
‘public java.lang.String toString(); 


A.32 ReleaseParameters 


package javax.realtime; 
public abstract class ReleaseParameters 


{ 


// constructors 

protected ReleaseParameters(RelativeTime cost, RelativeTime deadline, 
AsyncEventHandler overrunHandler, 
AsyncEventHandler missHandier) ; 


// methods 

public RelativeTime getCost(); 

public AsyncEventHandler getCostOverrunHandler(); 

public RelativeTime getDeadline(); 

public AsyncEventHandler getDeadlineMissHandler(); 

public void setCost (RelativeTime cost); 

public void setCostOverrunHandler (AsyncEventHandler handler); 
public void setDeadline (RelativeTime deadline); 

public void setDeadlineMissHandler (AsyncEventHandler handler); 


A.33 Schedulable 


package javax.realtime; 
public interface Schedulable extends java.lang.Runnable 


HR 
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// methods 
public void addToFeasibility(); 

public MemoryParameters getMemoryParameters(); 

public ReleaseParameters getReleaseParameters(); 

public Scheduler getScheduler(); 

public SchedulingParameters getSchedulingParameters(); 
public void removeFromFeasibility(); 

public void setMemoryParameters (MemoryParameters memory); 
public void setReleaseParameters (ReleaseParameters release); 
public void setScheduler (Scheduler scheduler); 

public void setSchedulingParameters (SchedulingParameters Scheduling); 


A.34 Scheduler 


package javax.realtime; 
public abstract class Scheduler 
{ 

// constructors 

public Scheduler (); 


// methods 

protected abstract void addToFeasibility(Schedulable Schedulable); 

public boolean changeIfFeasible (Schedulable Schedulable, 
ReleaseParameters release, MemoryParameters memory); 

public static Scheduler getDefaultScheduler(); 

public abstract java.lang.String getPolicyName () ; 

‘public abstract boolean isFeasible(); 

protected abstract void removeFromFeasibility (Schedulable schedulable); 

public static void setDefaultScheduler (Scheduler scheduler) ; 


A.35 SchedulingParameters 


package javax.realtime; 
public abstract class SchedulingParameters 
{ 

// constructors 

public SchedulingParameters(); 


) 


A.36 ScopedMemory 


package javax.realtime; 
public abstract class ScopedMemory extends MemoryArea 


{ 


// constructors 
public ScopedMemory (long size) ; 


// methods 
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public void enter (java.lang.Runnable logic); 
public int getMaximumSize(); 

public MemoryArea getOuterScope(); 

public java.lang.Object getPortal(); 

public void setPortal(java.lang.Object object); 


A.37 ScopedPhysicalMemory 


package javax.realtime; 
public class ScopedPhysicalMemory extends ScopedMemory ; 
{ 
// constructors 
protected ScopedPhysicalMemory (long base, long size); 
protected ScopedPhysicalMemory (ScopedPhysicalMemory memory, 
long base, long size); 


/ /methods 

public static ScopedPhysicalMemory create (java.lang.Object type, 
long base, long size) throws SecurityException, 
OffsetOutOfBoundsException, SizeOutOfBoundsException, 
UnsupportedPhysicalMemoryException; 

public static void setFactory (PhysicalMemoryFactory factory); 


A.38 SporadicParameters 


package javax,realtime; . 
public class SporadicParameters extends AperiodicParameters 
{ 
//constructors 
public SporadicParameters (RelativeTime minInterarrival, 
RelativeTime cost, RelativeTime deadline, 
AsyncEventHandler overrunHandler, 
AsyncEventHandler missHandler); 


// methods 


public RelativeTime getMinimumInterarrival(); 
public void setMinimumInterarrival(RelativeTime minimum); 


A.39 Thread 


// Not in package javax.realtime; 
public class Thread extends Object implements Runnable 


// fields 
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Static int MAX PRIORITY; 
static int MIN PRIORITY; 
Static int NORM PRIORITY; 


// constructors 
pubiic Thread(); 
public Thread(Runnable target); 
public Thread(Runnable target, String name); 
public Thread(String name); 
public Thread(ThreadGroup group, String name); 
throws SecurityException, IllegalThreadStateException 
public Thread(ThreadGroup group, Runnable target); 
throws SecurityException, IllegalThreadStateException 
public Thread(ThreadGroup group, Runnable target, String name); 
throws SecurityException, IllegalThreadStateException 


// methods 
Static int activeCount(); 
void checkAccess() throws SecurityException; 
int countStackFrames () 
throws IllegalThreadStateException; 
public static Thread currentThread(); 
public void destroy() throws SecurityException; 
static void dumpStack(); 
static int enumerate(Thread[] tarray) 
throws SecurityException; 
ClassLoader getContextClassLoader() throws SecurityException; 
String getName (); 
int getPriority(); 
ThreadGroup getThreadGroup ();. 
void interrupt () throws SecurityException; 
static boolean interrupted (); 
public final native boolean isAlive(); 
public final boolean isDaemon(); 
boolean isInterrupted(); 
public final void join() throws InterruptedException; 
public final void join(long millis) 
throws InterruptedException; 
public final void join(long millis, int nanos) 
throws InterruptedException; 
public void resume () 
throws SecurityException; // DEPRECATED 
public void run(); 
public void setContextClassLoader (ClassLoader cl) 
throws SecurityException; 
public final void setDaemon() 
throws SecurityException, IllegalThreadStateException; 
public void setName (String name) 
throws SecurityException; 
public void setPriority(int newPriority) 
throws class IllegalArgumentException, InterruptedException; 
public static void Sleep(long millis) 
throws InterruptedException; 
public static void sleep (long millis, int nanos) 
throws class IliegalArgumentException, InterruptedException; 
public native synchronized void start() 
throws IllegalThreadStateException; 
public final void stop() 
throws SecurityException; // DEPRECATED 
public final synchronized void stop(Throwable o); 
~ throws SecurityException, NullPointerException; // DEPRECATED 
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public 


public 
public 


} 


void suspend () 

throws SecurityException; // DEPRECATED 
String toString(); 

static void yield(); 


A.40 ThreadGroup 


// Not in package javax.realtime; 
public class ThreadGroup { 
// constructors 


public 


public 


ThreadGroup (String name) 

throws SecurityException; 
ThreadGroup(ThreadGroup parent, String name) 
throws SecurityException, NullPointerException; 


// methods 


public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 


public 
public 


int activeCount (); 
int activeGroupCount(); 
boolean allowThreadSuspension (boolean b); // DEPRECATED 
final void checkAccess() 
throws SecurityException; 
final void destroy() 
throws IllegalThreadStateException, SecurityException; 
int enumerate(Thread[] list) 
throws SecurityException; 
int enumerate (Thread[] list, boolean recurse) 
throws SecurityException; 
int enumerate(ThreadGroup[] list) 
throws SecurityException; 
int enumerate(ThreadGroup[] list, boolean recurse) 
int getMaxPriority() 
String getName() 
final ThreadGroup getParent () 
throws SecurityException; 
void interrupt () 
throws SecurityException; 
final boolean isDaemon(); 
synchronized boolean isDestroyed(); 
void list() 
final boolean parentOf(ThreadGroup g); 
void resume() 
throws SecurityException; // DEPRECATED 
final void setDaemon (boolean daemon); 
throws SecurityException; 
void setMaxPriority (int pri) 
throws SecurityException; 
final void stop() 
throws SecurityException; // DEPRECATED 
void suspend() 
throws SecurityException; // DEPRECATED 
String toString(); 
void uncaughtException(Thread t, Throwable e) 





NX 
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A.41 Timed 


package javax.realtime; 
public class Timed extends AsynchronouslyInterruptedException 
implements java.io.Serializable 
{ 
// constructors 
public Timed(HighResolutionTime time) throws 
IllegalArgumentException; 
// methods 
public boolean doInterruptible (Interruptible logic); 
public void resetTime(HighResolutionTime time); 


A.42 Timer 


package javax.realtime; 

public abstract class Timer extends AsyncEvent 

{ 

// constructors 

protected Timer (HighResolutionTime time, Clock clock, 
AsyncEventHandler handler); 

// methods 

public ReleaseParameters createReleaseParameters (); 

public void disable(); 

public void enable(); 

public Clock getClock(); 

public AbsoluteTime getFireTime(); 

public void reschedule (HighResolutionTime time); 

public void start(); 


A.43 VTMemory 


package javax.realtime; 
public class VTMemory extends ScopedMemory 
{ 

// constructors 

VTMemory(int initial, int maximum); 


) 
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circular wait (循环 等 待 ) 400 
class hierarchy (类 的 层次 体系 )，83 
class-wide types (类 宽 定 义 )，83 
client stub (客户 端 存 根 )，528 
client/server model (客户 机 /服务 器 模型 )，196，286 
clocks (时 钟 ) 
access to (访问 )，411 
Ada，413 
Java，415 
modelling ( 建 模 )，645 
POSIX，419 
CLU and exceptions (CLU 和 异常 )，167 
coarse grain parallelism ( 粗 粒 度 并 行 性 )，184 
cobegin, 188 
coding (编码 )，22 . 
coding checks (编码 检查 )，116 
cohesion (内 聚 性 )，19 
colloquy (会 谈 )，335，457 
commitments (规约 )，25，636 
communication protocols (通信 协议 )，544 
communication, command and control ( 通信、 指挥 和 控 
制 )，5 
commutativity ( 可 交换 性 )，36 
comparison points (比较 点 )，111 
comparison status indicators (比较 状态 指示 器 )，111 
comparison vectors ( 比较 向 量 )，111 
competing processes (竞争 进程 )，183，317，379 
compound statement (复合 语句 )，43 
concurrency (并 发 性 ) 
granularity (粒度 )，183 
initialization (初始 化 )，183 
level (级 别 )，183 
representation (表示 )，183 
structure (结构 )，183 
termination (终止 )，183 
concurrent control (并 发 控制 )，11 
concurrent exceptions (并 发 异常 )，337 


concurrent execution (并 发 执行 )，183 
Java，197 


Concurrent Pascal ( 并 发 Pascal)，184，246 
concurrent programming (并 发 编程 )，179 


567 


condition synchronization ( RFR} ), 224, 256, 381 
with Java (使 用 Java 的 )，263 
with semaphores (使 用 信号 量 的 )，234 
condition variables (条 件 变量 )，247 
in POSIX (POSIX 中 的 )，251 
conditional critical regions ( RRR), 245 
conditional entry call (条 件 入 口 调用 )，429 
conditional wait ( 条件 等 待 ) 382 
configuration 《配置 )，526 
CONIC, 284 
connection-oriented service (面向 连接 的 服务 )，546 
connectionless service (无 连接 服务 )，546 
consistent comparison problem (一 致 比较 问题 )，112 
constraint error (约束 错 )，140 
constraints (2938), 25, 636 
constructors (构造 器 )，81 
context switching (上 下 文 切换 )，581 
overheads (开销 )，642 
controlled types ( 受 控 闫 型 )，85 
conversations (会 话 )，334 
cooperating processes (合作 进程 )，183，317 
cooperatire dispatching (合作 分 派 )，470 
cooperative scheduling ( 合作 调度 )，495 
CORBA, 540 
CORE, 17 
coroutines (合作 例 程 )，187 , 
counting semaphores (计数 信号 量 )，234 
coupling (#4), 19 
critical section (WRB), 224 
CSMA/CD, 549 
CSP, 20, 284 
cumulative drift (RPK), 423 
cycle stealing ( 周期 窃取 )，580 
cyclic executive (循环 执行 )，466 
cyclic object (循环 对 象 )，658 


D 


daemon threads (守护 线程 )，202 

damage confinement and assessment ( 损害 隔离 与 评估 )， 
115, 117 

dangling pointer (悬挂 指针 )，53 

data link layer (数据 链 路 层 )，546 

data logging (数据 记录 )，8 

data retrieval (数据 检索 )，8 

data types (数据 类 型 ), 44 

datagrams (数据 报 )，546 

DatagramSocket class ( DatagramSocket3é), 538 


deadline less than period (小 于 周期 的 时 限 )， 481 
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deadline monotonic (KERRIE), 484, 544, 566 reliability (可靠 性 )，544 
deadline scheduling (时 限 调度 )，435 synchronous (同步 )，564 
deadlock (3ESf[). 237, 399, 490, 493 distributed systems (分 布 式 系统 ) 
avoidance (避免 )，400，401 reliability ( 可靠 性 ) 526 
detection and recovery (检测 与 恢复 )，400，403 DMA, 580 
necessary conditions (必要 条 件 )，400 DOIO, 589 
prevention (防护 )，400 domino effect (多米 诺 效 应 )，119，334 
safe state (ZERE), 402 DPS, 445 
deferrable server ( 可 延期 服务 器 )，483 driver process (驱动 器 进程 )，110 
deferred preemption (延期 抢占 )，470，496 dual-priority scheduling ( 双 优 先 级 调度 )，483 
delay (&R), 421 dynamic fault tolerance (动态 容错 )，554 
absolute (绝对 )，422 i dynamic reasonableness checks (动态 合理 性 检查 )，117 
relative (相对 )，42] dynamic redundancy (ZyaS7T 4), 109, 124, 125 
delay alternative (延迟 备 选 )，298 dynamic scheduling (动态 调度 ) 466 
delta，49 dynamic task creation (动态 任务 创建 ) ，194 
dense time (稠密 时 间 )，410 ` 
dependability ( 可 依赖 性 ) 128 E 
dependant ( 眷属) 185 Earliest Deadline First (最 早 时 限 优先 )，469，474，479 
derived types (REAM), 46, 82 ease of use ($F), 381 
design diversity (设计 多 样 性 )，110，124 EDF, 469, 474, 479 
design methods {设计 方法 )，21 Edison, 246 
destroy(), 361 efficiency (效率 )，32 
destructors ( 析 构 器 )，81 Eiffel, 144, 146 
detailed design (详细 设计 )，16，22 else alternative (else 备 选 )，298 
device driving (设备 驱动 )，577 embedded systems (WARR), 1, 3 
Ada, 594 enable(), 365 
occam2, 608 encapsulation (#f#%), 18, 73, 585 
Real-Time Java (实时 Java) 605 entry (ATH), 287 
scheduling (WHE), 617 entry barriers ( 人口 屏障 )，258 
device handling models (设备 处 理 模块 )，585 entry call ( 入口 调 用 )，258，289 
device identification (设备 标识 )，582 conditional (条 件 的 )，429 
device module (设备 模块 )，587 timed (限时 的 )，429 
device polling (设备 轮 询 )，583 entry families (入 口 族 )，288 
devices (设备 )，11 entry queues (入 口 队列 ) 
dialog (对 话 )，335，457 priority (优先 级 )，505 
digital control (数字 控制 )，8 enumeration representation clause ( 枚 举 表示 子 句 ) 595 
disable(), 365 enumeration types ( 枚 举 类 型 )，45 
discrete time (离散 时 间 )，475 environmental error detection (环境 出 错 检测 )，115 
discrete types (离散 类 型 )，45 error (出 错 )，103 
distributed algorithms (分 布 式 算法 ) ，556 detection (检测 )，109，115，124 
distributed control algorithms ( 分 布 式 控制 算 苇 )，526 diagnosis (Mf), 115 
distributed object model (分 布 式 对 象 模型 )，529 recovery (恢复 )，115，118 
distributed objects (分 布 式 对 象 )，528 Esterel, 446 
distributed system (分 布 式 系统 )，180，523 Ethernet (以 太 网 )，567 
deadline scheduling (时 限 调度 )，526 exception catching (异常 捕获 )，125 
language support (Eè € 1$), 526 exception handler (异常 处 理 程序 )，43 
ordering events (事件 排序 ) 556 exception handling (异常 处 理 )，102， 125, 135, 291 


priority-based protocols ( 基于 优先 级 的 协议 )，569 CHILL，166 
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hybrid model (混合 模型 )，144，146 

Java, 161 

notify model (通知 模型 )，144 

POSIX，146 

rendezvous (2), 291 

requirements (433k), 135 

resumption model (恢复 模型 )，144 

termination model (终止 模型 )，144，145 
exceptions (异常 )，125 

ATC, 352 

atomic actions (原子 动作 )，338 

C, 164 

C++, 168 

classes (3&), 139 

CLU, 167 

domains ( 域 ) 140 

identifiers (标识 符 )，148 

Java，157 

Mesa，168 

propagation (传播 )，143 

Java, 162 

recovery blocks (恢复 块 )，169 

reraising (再 引发 )，153 

suppression (RK), 154 

throwing (抛弃 )，160 
execution environment (执行 环境 )，25，635 
expressive power (表达 能 力 )，381 
extended rendezvous (扩展 会 合 )，284 
external state (外 部 状态 ) 103 


F 


fail controlled (542 4:3 ), 105 
fail late (延迟 失效 )，105 
fail never (从 不 失效 )，105 
fail safe (故障 保护 ) 107, 435 
fail silent (寂静 失效 )，105 
fail soft (失效 弱化 ) 107 
fail stop (失效 即 停 )，105 ， 
fail uncontrolled ( 非 受 控 失 效 )，105 
failure (失效 )，103，104 
failure modes (失效 模式 )，104，550 
fault (故障 )，103 
avoidance (回避 )，106 
intermittent 《间歇 的 )，104 
location (位 置 )，120 
permanent (永久 的 )，104 
prevention (防护 )，106 
removal (消除 )，106 


569 


sources ( 源 )，102 
transient (BRATAY), 103 
treatment and continued service (处理 并 继续 服务 )， 
115, 120 
fault tolerance (###), 102, 106, 107, 435, 681 
real-time (实时 )，448 
fault, error, failure chain (故障 ， 错 误 ， 失 效 链 )，103 
Fault-Tolerant Concurrent C (容错 并 发 C) 552 
FDDI, 568 
feed-forward controller (前 馈 控 制 器 ) 9 
feedback controller (反馈 控制 器 )，9 
FIFO (先进 先 出 )，384，508 
files (文件 )，55 
fine grain parallelism ( 细 粒 度 并 行 性 )，184 
firewalling (防火 墙 )，117 
firm real-time ( 固 实 时 )，3，435 
fixed-point types (定点 类 型 )，49 
flexibility (灵活 性 )，31 
float ( 浮 点 )，48 
for loop (for 循 环 )，60 
fork (分 叉 )，184，206 
fork and join (分 叉 与 汇合 )，188 
forking and pthreads (分 又 与 p 线 程 )，210 
formal design notations (形式 化 设计 记号 系统 )，16 
formal methods (形式 化 方法 )，20 
forward error control (向 前 出 错 控制 )，546 
forward error recovery (向 前 出 错 恢复 ) 118, 125, 317， 
449 
atomic actions ( 原子 动作 )，336 
concurrent processes (并 发 进程 )，356 
FPS, 469, 470, 475 
functions (函数 )，67 


G 


garbage collection (垃圾 回收 )，620 

generics (类 属 )，92 

graceful degradation (性 能 下 降 )，107 

Grahams’ anomalies (Grahams 异 常 )，565 

group communication protocols (组 通信 协议 )，549 
guarded commands ( 守备 命令 )，292 

guardian (监护 者 )，185 


happened(), 364 
hard real-time ( 硬 实时 )，2，435，482 


hardware input/output mechanisms ( 硬件 输入 /输出 机 构 )， 
377 


hardware interfaces (硬件 接口 ), 12 
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harmonic processes (和谐 进程 ) 566 
HCI, 16, 34 
heap management (HEM), 619 
Real-Time Java (实时 Java)，621 
Ada, 620 
heterogeneous distributed system ( 异 质 分 布 式 系统 )，525 
high availability (高 可 用 性 )，107 
hold and wait (拥有 并 等 待 )，400 
holistic scheduling (整体 调度 )，571 
homogeneous distributed system ( 同 质 分 布 式 系统 )，525 
HRT-HOOD, 25, 653 
hybrid model of exception handling ( 异常 处 理 的 混合 模型 )， 
144，146 


ICPP，490，491 

Ada, 506 

POSIX, 509 

Real-Time Java (实时 Java)，514 . 
IDAs, 25 | 
ideal fault-tolerant component (理想 化 容错 部 件 )，126 
identifiers (标识 符 ) 42 
IDL, 541 
if statement (ifi¥ 4J), 56 
immediate ceiling priority inheritance (立即 高 限 优先 级 
继承 )，490，491 
immortal memory (永久 存储 器 )，622 
import (HA), 86 
imprecise computations (不 精确 计算 )，341 
incremental checkpointing ( 增 最 式 检查 点 )，119 
indefinite postponement (无 限 推迟 )，238，400 
independent processes (独立 进程 )，183，317 
indivisible action (不 可 分 动作 )，318 
indivisible operation (不 可 分 操作 )，224 
inexact voting (不 精确 表决 )，112，124 
informal design notations ( 非 形式 化 设计 记号 )，16 
information hiding (45 BASE), 73, 74 
inheritance (4fAK), 81, 83, 87 
inheritance anomaly (继承 异常 )，268 
initialization (初始 化 )，183 
inline expansion ( 插 人 式 展开 )，69 
input jitter (输入 抖动 )，435 
interactive system (交互 式 系 统 )，34，435 
interface module (接口 模块 )，249，587 
interface:in Java (接口 : Java 中 的 )，95 
interference (if), 475 
intermittent fault (间歇 性 故障 )，104 
internal state (内 部 状态 )，103 


interprocess communication (进程 问 通信 )，182 
interrupt 《中 斯 ) 
identification ( 识别) 599 
latency (#{K), 598 
priority control (优先 级 控制 )，584 
task entries (任务 入 口 )，599 
interrupt control ( 中断 控 制 )，583 
interrupt handling (中 断 处 理 ) 
Ada model (Ada 模 型 ) 598 
attaching handler (附加 处 理 程序 )，598 
C, 615 
dynamic attaching (动态 附加 )，599 
Modula-1, 587 
occam2, 609 
protected procedure (保护 过 程 ) 598 
Real-Time Java ( Szlk]Java), 607 
interrupt identification (中 汤 识 别 )，583 
interrupt masks (中 断 屏蔽 )，583 
interrupt(), 361 
interrupt-driven device controt (中 断 驱 动 设备 控制 )，S79 
interrupt-driven program-controlled device control ( 中 断 
驱动 程序 受 控 )，580 
Interrupted Exception (中断 异常 )，361 
Interruptible ( 可 中 断 的 ) 365 
inversion (f4), 24 
IP, 547 
isEnabled(), 365 
isInterrupted(), 361 
iteration (kft), 60 


Java . 
atomic actions (Ji --zljfE), 327, 368 
bounded buffer (ARAME), 268 
class synchronization (类 同步 )，262 
clocks (于 钟 )，415 
currentThread, 201 
destroy(), 361 
distributed systems (分 布 式 系统 )，537 
exception handling (异常 处 理 )，161 
exceptions (##), 140 
propagation ({##§), 162 
throwing (4H), 160 
import (GA), 86 
inheritance (继承 )，87 
interface (Hz), 95 
interrupt(), 361 
InterruptedException, 361 
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isInterrupted(), 361 

modifier (修饰 词 )，86 

private method (私有 方法 )，86 

protected method (保护 方法 )，86 

public class (公有 类 )，86 

public method (公有 方法 )，86 

monitors ( 管 程 )，261 

native modifier (修饰 词 native )，199 

notify method (通知 方法 )，263 

notify All method (通知 全 体 方法 )，263 

Object Class (对象 类 )，90 

OOP, 85 

periodic threads ( 周期 线程 ) 442 

remote interface (远程 接口 )，538 

remote objects (远程 对 象 )，538 

resume (恢复 )，231 

RMI, 537 

Runnable interface (Runnable F1), 197 

sporadic event handling (偶发 事件 处 理 ) 445 

sporadic threads (偶发 线程 )，445 

static data (静态 数据 ) 262 

static modifier (修饰 词 static+A588)，201 

stop(), 361 

suspend (#43), 231 

suspend()/resume(), 361 

synchronized blocks (同步 时 钟 )，261 

synchronized methods ( 同步 方法 )，261 

this, 262 

Thread (£&fg), 197, 708 
constructors (构造 器 ) 197 
currentThread method (currentThread 方 法 )，197 
daemon threads (守护 线程 ) 202 
destroy method (destroy 方 法 )，197，202 
isAlive method (isAlive 方 法 )，197, 201 
isDaemon method (isDaemon 方 法 )，197 
join method (join 方法 )，197，201 
run method (run 方 法 )，197 
Runnable interface (Runnable}## [1), 200 
start method (start žk), 197, 200 
stop method (stop#7#), 197, 202 
user threads (用 户 线程 )，202 

Thread groups (线程 组 )，202 

thread identification (线程 标识 )，201 

thread termination (线程 终止 )，201 

ThreadGroup, 710 

threads (线程 )，197 

try-block (try 块 )，141 

wait method (wait 方 法 )，263 
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java.lang 
thread (线程 )，197 
java.net, 538 


java.rmi, 538 


JSD, 23 
K 
kill ( 杀 死 )，347 
L 


last wishes (最 后 希望 )，153 
life cycle (生命 周期 )，637 
light-weight protocols ( 轻 量 级 协议 )，548 
f limited private (REA), 80 
linear time (线性 时 间 )，410 
livelock (1&5), 227 
liveness ( 活性) 20, 237, 238, 400 
local drift ( 局 部 漂移 )，423 
lockout (停工 )，238，400 
logical architecture (32 $8 4& A 4449), 26, 636, 659 
logical clocks (逻辑 时 钟 )，557 
logical link control (逻辑 链 路 控制 )，549 
long integer (长 整数 )，45 ^ 
longjmp, 164 


loosely coupled distributed system ( 松 耦 合 分 布 式 系统 )， 
525 


M 


mailbox (邮箱 )，285 
major cycle 〈 主 周期 ) 467 
managing design (设计 的 管理 )，36 
manufacturing control system ( 制造 业 控 制 系统 )，4 
marshalling parameters (参数 编组 )，529 
Mascot3，24 
masking redundancy {元 余 屏 项 )，109 
medium access control, 549 
memory management (存储 管理 )，619 
memory-mapped I/O (存储 -映射 IJO)，577 
Mesa，30，144，146，184，246，249 
exceptions (异常 )，168 
message passing ( 消息 传递 )，223，283 
in Ada (Ada 中 的 )，286，287 
in occam2 (occam2 中 的 )，286 
message queues (消息 队列 )，301 
Priority (优先 级 )，509 
message structure (消息 结构 )，286 
middleware (中 间 件 )，528 
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mine drainage (矿井 排水 )，653 non-preemptive scheduling 《无 抢占 调度 )，470 
Minimum CORBA (最 小 化 CORBA)，542 normal library package (正规 库 包 )，535 
minimum inter-arrival time (最 小 到 达 村 间 )，481 notify model (通知 模型 )，144 
minor cycle (小 周期 )，467 O 
mishaps (事故 )，128 
mistake (错误 }，35 Object class in Java (Java 中 的 对 象 类 )，90 
mixed initiative systems (混合 式 主动 系统 )，35 Object Request Broker (对 象 请 求 代理 )，540 
mode changes (模式 改变 )，340 object-oriented abstraction (面向 对 象 的 抽象 )，19 
model checking (模型 检查 )，432 object-oriented programming (面向 对 象 的 编程 )，81，186 
model of distribution (分 布 的 模型 )，533 obligations (责任 )，25 
modifier (修饰 词 )，86 occam2, 648 
Modula-1, 29, 189, 246, 248 atomic actions (原子 动作 )，331 
Modula-2, 18, 30, 143, 146, 180, 184, 187 concurrent execution (FF #47), 191 
modular decomposition (模块 分 解 )，、117 WO message passing ( 消息 传递 )，286 
modularity (模块 性 )，585 modules (模块 )，77 
modules (模块 )，19，73 PLACE AT，531 
Ada，74 PLACED PAR, 530 
C, 76 PRI ALT, 295 
Java, 98 priority (优先 级 ) 504 
monitors (f2), 246, 381 reliability (AJ SEE), 556 
in Java, 261 the ALT statement (ALTi#4J), 293 
atomic actions (原子 动作 ) 324 、 timeouts (超时 )，428 
criticisms (批评 )，254 timers (定时 器 )，413 
in Mesa, 249 OCPP, 490, 493 
in Modula-1, 248 OCPP versus ICPP (OCPPX{ICPP), 493 
multicast ( ZJ HE), 550 omission failure (不 作为 失效 )，105 
multiprocessor (多 处 理 器 )，180 OOP (面向 对 象 编程 )，81 
mutexes ( 互 斥 锁 )，251，543 Ada, 82 
mutual exclusion ( 互 斥 )， 224, 400, 490, 493 Java, 85 
Peterson's algorithm (Peterson 算 法 ) 228 operating systems (操作 系统 )，181 
with protected objects (用 保护 对 象 的 )，255 operating systems vs language concurrency (操作 系统 对 
with semaphores (用 信号 量 的 )，235 语言 并 发 性 )，182 
ORB, 540 
N ordered atomic multicast ( 有 序 原 子 多 重 广播 )，550 
N modular redundancy (N 模 完 余 )，109 ordering events 《事件 排序 ) 556 
N-version programming (N 版 本 程序 设计 )，109，118 original ceiling priority protocol (原始 高 限 优先 级 协议 )， 
recovery blocks (恢复 块 )，123 490 
name notation (指名 记号 )，51 OSI, 544 
native modifier (native 修 饰 符 )，199 output jitter (输出 拌 动 )，435 


nested atomic actions (能 套 原子 动作 )，319 


nested monitor calls (fx $^ FAIR), 254 P 
network layer (MZ), 546 package (41), 74 

NMR, 109 Ada.Dynamic_Priorities, 522 
no preemption (无 抢占 )，400 . System.Storage Elements, 620 
no-wait send (不 等 待 发 送 ) 284 package body (&f&), 74 


non-determinism ( 非 确定 性 )，300 


package Real Time ( 包 Real_Time), 415 
non-local goto ( 非 局 部 goto)，137 


package specification ( 包 规 格 说 明 )，74 
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package System (System), 505 
PAR, 191 
parallelism (并 行 性 )，180 
parameter marshalling (参数 编组 ) 529 
parameter passing (参数 传递 ) 63 
parent task ( 父 任 务 )，185 
partition ( 划分 )，533 
active (主动 的 )，533 
passive (被 动 的 )，533 
partition communication subsystem (分 组 通信 子 系统 )，536 
partitioning ( 划分 )，$26 
passive (被 动 ) 186 
passive object (被 动 对 象 )，658 
passive partitions (被 动 分 组 )，533 
PCS, 536 
PDCS, 2 
Pearl, 144, 440 
perfect user (完全 用 户 )，35 
period displacement (周期 移 位 )，618，656 
perlodic (周期 的 )，433 
periodic process (周期 进程 )，435，466 
allocation (分 配 )，565 
Pearl, 440 
Real-Time Euclid (实时 Euclid) 439 
release jitter (启动 抖动 )，497 
periodic task 〈 周 期 任务 ) 437 
periodic threads (周期 线程 )， 
Java, 442 
permanent fault (永久 性 故障 )，104 
Peterson’s mutual exclusion algorithm (Peterson 互 斥 算 
法 )，228 
Petri nets (Petri 网 )，20 
physical architecture (物理 体系 结构 )，26，636，662 
physical layer (物理 层 )，545 
pointers (指针 )，52 
polymorphism (多 态 性 )，81 
Pools ( 池 )，25 
portability ( 可 移植 性 )，32 
PORTS, 609 
POSIX, 188 
atomic actions ( 原子 动作 ) 348 
blocking a signal (阻塞 信号 )，343 
C interface to scheduling (C 对 调度 的 接口 )，509 
clocks (时 钟 )，419 
condition variables (条 件 变量 ) 251 
errors (出 错 )，136 
exception handling (异常 处 理 )，146 
generating a signal (生成 信号 )，345 
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handling a signal (处理 信号 ) 343 
ICPP, 509 
ignoring a signal (忽略 信号 )，345 
message queues (2 BAI), 301, 509 
mutexes ( AJR), 251 
priority (优先 级 ) 508 
priority inheritance ( 优先 级 继承 ) 509 
profiles (剖面 )，641 
pthreads，206，346 
scheduling (调度)，508 
semaphores (信号 量 )，241 
signals (信号 ) 301, 341 
pthreads, 346 
signals in Real-Time Java (实时 Java 中 的 信号 ) 608 
timers 《定时 器 ) ，450 
pragma ( 编 用 ) 
Asynchronous, 536 
Attach_Handler, 598 
Controlled, 620 
Interrupt_Priority, 505 
Locking_Policy, 506 
Preelaborate, 534 
Priority, 505 
Pure, 534 
Remote_Call_Interface, 535 
Remote_Types, 535 
Shared_Passive, 535 
predictability ( 可 预 油性 )，36 
preelaborate (预制 作 )，534 
preemptive scheduling (抢占 式 调度 }，470 
presentation layer (表示 层 )，547 
PRI ALT, 295 
PRI PAR, 504 
primary module (基本 模块 )，120 
priority (优先 级 )，469 
Ada, 505 
assignment 《赋值 ) 
deadline monotonic (时 限 单调 的 ) 484 
optimal (优化 的 )，501 
rate monotonic (速率 单调 的 )，470 
ceiling protocol (高 限 协 议 )，490 
ceiling protocol emulation (高 限 协 议 仿真 )，493 
entry queues (入 口 队列 )，505 
inheritance (继承 )，488 
Ada, 508 
POSIX, 509 
Real-Time Java (实时 Java)，514 
interrupt (PIR), 505 
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Java, 513 
occam2, 504 
POSIX, 508 
priority inversion (优先 级 反 转 )，486，567 
priority-based scheduling (基于 优先 级 的 调度 ) 
Ada, 505 
POSIX, 508 
priority-based systems (基于 优先 级 的 系统 )，504 
procedure variables (过 程 变量 )，138 
procedures (过 程 )，64 
process (进程 )，179，183 
abortion (中 止 )，184 
abstraction (抽象 )，19 
blocking (阻塞 )，486 
contention ( 4l), 509 
declaration (HH), 189 
delay (4ER), 593 
interaction (487), 486 
migration {移动})，566 
naming {指名 )，285 
representation (表示 )，187 
states (状态 )，180，185，469 
synchronization (同步 )，182，283 
termination (终止 )，184 
process control ( 进程 控制 )，3 
process-based scheduling (基于 进程 的 调度 ) ，469 
processor failure (处 理 器 失效 )，551 
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processor failure and static redundancy ( 处 理 器 失效 和 静 
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producer-consumer (生产 者 和 消费 者 )，225 

Program_Error, 506 

programming in the large (大 型 编程 )，41，73 

programming in the small (小 型 编程 )，41 

Propagate(), 365 

protected (4247), 186, 379 

protected entry (RHA), 255, 256, 288 
barriers ( BEBE), 258 

protected function (保护 函数 )，256 

protected object (保护 对 象 )，658 

protected objects (保护 式 对 象 ) 255, 381, 506 
device driving (设备 驱动 )，594 

protected procedure (保护 过 程 )，255 
interrupt handling (中 断 处 理 )，598 

protected resource (保护 资源 )，186 

Protected subprogram (保护 子 程序 )，255 

Protection mechanisms (保护 机 制 )，118 


prototyping (建立 原型 )，16,.33 
pthread detaching (p£&Ei4 UK), 208 
pthread attr t, 208 

pthread cancel, 208, 347 

pthread create, 208 

pthread exit, 208 

pthread join, 208 

pthread kill, 347 

pthread sigmask, 347 

pthreads, 206 

pure library package (41 /# 41), 534 
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race condition (竞争 条 件 ) 232 
raising an exception (引发 异常 )，125 
rate monotonic (速率 单调 )，470 
rate monotonic scheduling (速率 单调 调度 )，544 
Ravenscar Profile (Ravenscar#l jf), 639 
reactive objects (反应 式 对 象 )，186 
readability ( 可 读 性 )，31 
real numbers (2%), 9, 47 
real-time (实时 ) 
definition of (定义 )，2 
Real-Time Basic (实时 Basic) ，146 
real-time clock (实时 时 钟 )，415 
real-time control (实时 控制 )，12 
Real-Time CORBA (实时 CORBA )，542 
Real-Time Euclid (实时 Euclid )，425，439 
Real-Time Java (实时 Java) 
Timed class (类 Timed )，430 
AbsoluteTime, 691 
AperiodicParameters, 692 
AsyncEvent, 692 
AsyncEventHandler, 692 
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asynchronous event handling (异步 事件 处 理 )，348 
asynchronous transfer of control (异步 控制 转移 )，361 


AsynchronouslyInterruptedException ， 693 
BoundAsyncEventHandler, 694 

Clock, 419, 694 

disabled), 365 

enable(), 365 

happened(), 364  — 
HighResolutionTime, 694 
ImmortalMemory, 695 

ImmortalMemory class, 622 
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ImmortalPhysicalMemory, 622 
ImportanceParameters, 512, 695 
Interruptible, 365, 695 
isEnabled(), 365 

LTMemory, 696 

MemoryArea, 696 
MemoryParameters, 696 
MonitorControl, 697 
NoHeapRealtimeThread, 697 
OneShotTimer, 454, 698 
PeriodicParameters, 698 
Periodic Timer, 454 
PeriodicTimerPeriodicTimer, 698 
POSIXSignalHandler, 699 


priority inheritance (优先 级 继承 )，514 


PriorityCeilingEmulation, 700 
PriorityInheritance, 700 
PriorityParameters, 512, 700 
PriorityScheduler, 701 
ProcessingGroupParameters, 701 
propagate(), 365 

RationalTime, 702 


raw memory access 【原始 存储 器 访问 )，605 


RawMemoryAccess，702 
Realtime Security, 703 
Realtime System, 704 
RealtimeThread, 704 
RealtimeThreads class, 442 
RelativeTime, 705 
ReleaseParameters, 706 
reliability (可 靠 性 )，556 
Schedulable, 706 
Schedulable Interface, 512 
Scheduler, 707 

Scheduler class, 513, 514 
SchedulingParameters, 512, 707 
ScopedMemory, 707 
ScopedPhysicalMemory, 708 
SporadicParameters, 708 


temporal scopes (时 序 作 用 域 )，441 


threads (线程 )，205 
Timed, 711 

Timer, 711 

Timer class, 452 
VTMemory, 711 


Real-Time Systems Annex (实时 系 SEPA), 506 
RealtimeThreads class (类 Realtime Threads ), 442 
reasonableness checks (合理 性 检查 )，116 
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record aggregates (URRE), 51 
record representation clause (记录 表示 子 句 ) 595 
records (记录 )，50 
recoverable action (可 恢复 动作 )，321 
recovery blocks (恢复 块 )，120 
N-version programming 〈w 版 本 程序 设计 )，123 
exceptions (异常 )，169 
recovery cache (恢复 高 速 缓存 )，119 
recovery lines (局 复线 )，120 
recovery point (恢复 点 )，118，120 
recursion (%44), 60, 67 
redundancy (7047), 109 
relative delay (相对 延迟 )，421 
relative error (相对 误差 )，47 
release jitter ( 启动 抖动 ) 496 
reliability (可 靠 性 )，10 
definition (定义 )，102 
metrics (度量 )，127 
modelling (4#), 127 
prediction (预测 ) 127 
safety (#4), 128 
Remote class (2É£Remote), 539 
remote interface (远程 接口 )，538 
remote monitoring (远程 监视 )，8 
remote objects (AXA), 529, 538 
remote procedure call (远程 过 程 调用 ) 308, 528, 536, 
537, 549 
remote subprogram call (远程 子 程序 调用 )，5$33 535 
Remote Call Interface package ( 包 Remote_Call_Jnterface ) ， 
535 
Remote_Types, 535 
RemoteServer class ( JERemoteServer), 539 
rendezvous (Zr), 284, 507, 594 
replicated remote procedure calls ( 复制 的 远程 过 程 调 用 )， 
552 
replication checks (复制 检查 )，116 
replicator ( 复制 器 )，191 
representation clauses (表示 子 句 )，595 
request order (请 求 次 序 )，382，384 
request parameters ( 请求 参数 )，382，385 
request priority《 请 求 优先 级 )，382，390 
request type (请 求 类 型 )，382 
requeue ( 重 排队 )，391 
semantics (语义 )，394 
with abort ( 4B FAY), 395- 
requirement specification (需求 规格 说 明 )，16，17，22 
resource (资源 )，186 
resource allocation graphs (资源 分 配 图 )，403 
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resource control (资源 控制 )，241，379 
atomic actions (原子 动作 )，380 
in Modula-1 (Modula-1 中 的 )，251 
Mesa，250 

resource dependency graphs (资源 依赖 图 )，403 

resource management (资源 管理 )，380 

resource usage (资源 使 用 )，399 

response failure (响应 失败 )，2 

response time 〔〈 响 应 时 间 )，12，103 

response time analysis (响应 时 间 分 析 )，475，617 
arbitrary deadlines (任意 时 限 )，498 
blocking (fH3Z), 489 
cooperative scheduling (合作 调度 )，495 
iterative solution (和 迭代 解法 )，476 
release jitter ( 启动 抖动 ) 497 

restricted tasking ( 受 限 任务 性 的 )，638 

resumption model (恢复 模型 ) 144, 339, 452 

reusability (可 重用 性 )，91 

reversal checks ( 反 向 检查 )，116 

RMI, 537 

rmic, 539 

robot arm (机 器 人 臂 ) , 189, 192, 193, 209 
POSIX, 303 

round-robin (4646), 508 

RPC, 308, 528, 549 
at most once semantics (至 多 一 次 语义 )，549 
exactly once semantics (恰好 一 次 语义 )，5$49 
replicated (复制 的 )，552 

RTL, 432 ` 

RTL/2, 137, 138, 615 

RTSS, 236 

run-time dispatching (运行 时 分 派 )，81，84 

run-time support system (运行 时 支持 系统 )，180 

Runnable, 197 
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safety (安全 )，10，20，128 
Schedulable Interface ( 接 HSchedulable), 512 
scheduling (W), 341, 465, 617 
communication links (通信 链 路 )，567 
cooperative ( 合作)，470 
distributed system (分 布 式 系 统 )，564 
holistic (Hf HI), 571 
kernel models (内 核 模型 )，641 
non-preemptive ( 非 抢 占 式 的 )，470 
POSIX, 508 
Preemptive (抢占 式 的 )，470 


Real-Time Java (实时 Java)，511 
response time analysis (响应 时 间 分 析 )，475 
utilization-based analysis (基于 使 用 的 分 析 )，471 
scoped memory (作用 域 存储 器 )，622 
security {保密 )，30，129，398 
select statement (选择 语句 )，297 
select then abort (选择 然后 中 止 ) 429 
selective waiting (选择 性 等 待 ) 292 
semaphores (信号 量 )，233 
atomic actions (原子 动作 )，323 
criticisms (tPF), 244 
implementation (实现 )，236 
in Ada (用 Ada 实 现 的 )，239 
in POSIX (用 POSIX 实 现 的 )，241 
sensitivity (敏感 性 )，36 
sensor (传感器 )，4 
separate compilation (分 别 编译 )，73，78 
SEQ, 191 
sequence (序列 )，55 
sequence in occam2 (occam2 中 的 序列 )，44 
server processes (服务 器 进程 )，381 
server state (服务 器 状态 )，382，385 
server stub (服务 器 桩 )，529 
servers (R32), 186, 379 
session layer (SiG), 547 
setjmp, 164 
shared variables (共享 变量 ) ，223 
Shared_Passive packages (44Share_passive), 535 
short integer (494%), 45 
SIGABRT, 341 
Sigaction, 347 
SIGALARM, 341 
SIGALRM, 450 
sigevent, 345 
signal (信号 ) 
monitor (££), 247 
on a semaphore (信号 量 上 的 )，234 
signals (信和 号 )，146，339 
POSIX, 341 
sigqueue (信和 号 队列 )，347 
SIGRTMAX, 341 
SIGRTMIN, 341 
simplicity (简明 性 ) 31 
simulators (E4035 ), 33 
single processor (单个 处 理 器 )，180 
skeleton (框架 )，539 


SKIP, 56, 287 
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slip (IR), 35 
Smalltalk-80, 78 
Socket class (2ÉSocket), 538 
sockets (iF), 527 
soft real-time (KFt), 2, 435, 482 
software crisis (软件 危机 )，29 
software dynamic redundancy (软件 动态 元 余 )}，114 
software reliability growth models (软件 可 靠 性 增长 模 
型 )，127 
special instructions (特别 指令 }，577 
specification (规格 说 明 )，113 
sporadic (偶发 的 ) 434 
sporadic object (偶发 对 象 ) 658 
sporadic process (偶发 进程 )，468，481，644 
Ada, 438 ' 
allocation (4At), 566 
release jitter ( 启动 抖动 )，496 
sporadic threads (偶发 线程 ) 
Java, 445 
SR, 284, 388 
stable storage (稳定 存储 )，560 
stack resource policy ( 栈 资源 策略 )，494 
starvation (f&3E), 238, 400 
static modifier (static 修 饰 符 )，201 
static redundancy (静态 完 余 )，109，124 
static scheduling (静态 调度 )，466 
status driven device control mechanisms (状态 驱动 设备 
控制 机 制 )，579 
STOP, 56, 287 
stop(), 361 
storage pools (存储 池 )，620 
structural checks (结构 检查 )，117 
structured design notations 《结构 化 设计 记号 系统 )，16 
structures (结构 )，50 
stubs ( 桩 )，79 
subprograms ( 子 程序 )，62 
subtypes ( 子 类 型 )，46 
suspend and resume ( 挂 起 和 恢复 ) 230 
suspended processes ( 挂 起 的 进程 )，236 
suspension object (停止 的 对 象 )、232 
swap instruction (交换 指令 )，237 
symmetric naming (对 称 指名 )，285 
synchronous distributed system (同步 分 布 式 系统 )，564 
synchronous exceptions (同步 异常 )，139 
synchronous message passing (同步 消息 传送 )，284 
system contention (AGMA), 509 
system overheads ( 系统 开销 )，466 
system repair ( 系统 修复 )，120 
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tagged types (标志 类 型 )，82 
task (任务 )，192 
activation (X75), 507 
discriminant (判别 式 )，505 
identifiers (标识 符 )，196 
interrupt entries (中 断 人 口 )，599 
rendezvous (24), 507 
restricted (3858), 638 
termination (41), 196 
types (384), 505 
Task Id, 196 
TCP/IP, 547 
TDMA, 568 
temporal logics (HEZ), 21 
temporal scopes (时 序 作用 域 ) 433 
terminal driver (终端 驱动 器 )，590 
terminate alternative (终止 备 选 )，196，298 
termination (终止 )，183 
Java threads ( Java 线程 )，201 
termination model (终止 模型 ) 144, 
test and set 【测试 并 设 定 ) 237 
testing (测试 )，16，22，32 
this ，262 
thread pools (线程 地 )，543 
lanes (£x iki), 543 
threads (£&£3), 182, 206, 346 
threshold value (门限 值 )，112 
throwing an exception (4H 5&4), 125, 160 
tightly coupled distributed system ( Bez) XE), 524 
time (Ig), 410 
Ada, 413 
C, 419 
occam2, 413 
POSIX, 450 
time failure (时 间 失 效 )，104 
time-line (时 间 线 )，472 
time-stamps《 时 间 蕉 )，SS7 
Timed class (类 Timed )，430 
timed entry call (定时 入 口 调用 )，429 
timed token passing (定时 令 牌 传送 )，568 
timeouts (超时 )，424 
timers (定时 器 )，413 
POSIX, 450 
Real-Time Java (实时 Java)，452 
timing checks (时 间 性 检查 )，116 
timing errors (时 间 性 出 错 )，449 
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TMR, 109 

token passing ( 令 牌 传递 ) 568 

token rotation time ( 令 牌 轮转 时 间 )，568 

traces (踪迹 ) 20 

transactions (事务 )，117 

transducer (转换 器 )，4 

transient blocking (上 甩 时 阻塞 )，490 

transient fault (瞬时 故障 )，103 

transport layer (传输 层 )，546 

transputer (传输 机 )，30，648 

triggering event (触发 事件 )，350 
cancellation (取消 )，351 

triple modular redundancy (三 模 宛 余 )，109 

try-block (try 块 )，141，161 

TTA, 568 

two-phase actions { 两 阶段 动作 )，320 

two-stage suspend (两 步 式 桂 起 ) 232 

type extensibility (类 型 可 扩展 性 )，81 

type security( 类 型 安全 )，45 

typedef (类 型 定义 )，46 


UDP, 547 

UML, 26 

unanticipated errors (未 预计 的 错误 )，102 

unchecked conversion (未 检查 的 转换 )，604 

unchecked deallocation (未 检查 的 回收 )，53 

unhandled exception (未 处 理 异 常 )，143，196 
UnicastRemoteObject class (类 UnicastRemoteObject)，539 
Universal time (标准 时 间 )，411 


Unix, 2 

user interrupts (用 户 中 断 )，341 

user threads (用 户 线程 )，202 

utilization-based schedulability tests (基于 使 用 的 可 调度 
测试 )，471 


V 


value failure ( 值 失效 )，104 

value -based scheduling (基于 值 的 调度 ) 470 
VDM, 18, 432 

vectored interrupts (向 量化 中 断 ) 582 
virtual circuits ( 虚拟 线路 ) 546 

vote comparison (表决 比较 )，112 
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wait (5&3), 184, 206 
monitor (F), 247 
on a semaphore (在 信号 量 上 的 )，233 
watchdog timer (看 门 狗 定 时 器 )，116，450 
WCET, 480 
when others, 151 
while loop (while 循 环 )，61 
worst-case behaviour (最 坏 情况 行为 )，12，466 
worst-case execution time analysis (最 坏 情况 执行 时 间 分 
析 )，480 
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